我已经缓存了所有内容,如果我登录了我的帐户,您将无法再注销了)退出后如何退出?我需要知道如何删除cookie和会话!我什么时候退出!
P.S。如果我将在nginx级别禁用缓存,一切正常, nginx中的问题
nginx conf
gzip on;
gzip_disable "msie6";
gzip_vary on;
gzip_proxied any;
gzip_comp_level 6;
gzip_buffers 16 8k;
gzip_http_version 1.1;
gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
proxy_connect_timeout 5;
proxy_send_timeout 10;
proxy_read_timeout 10;
proxy_buffering on;
proxy_buffer_size 16k;
proxy_buffers 24 16k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;
proxy_temp_path /tmp/nginx/proxy_temp;
add_header X-Cache-Status $upstream_cache_status;
proxy_cache_path /tmp/nginx/cache levels=1:2 keys_zone=first_zone:100m;
proxy_cache one;
proxy_cache_valid any 30d;
proxy_cache_key $scheme$proxy_host$request_uri$cookie_US;
服务器配置
upstream some site {
server unix:/webapps/some/run/gunicorn.sock fail_timeout=0;
}
server {
listen 80;
server_name server name;
expires 7d;
client_max_body_size 4G;
access_log /webapps/some/logs/nginx-access.log;
error_log /webapps/some/logs/nginx-error.log;
error_log /webapps/some/logs/nginx-crit-error.log crit;
error_log /webapps/some/logs/nginx-debug.log debug;
location /static/ {
alias /webapps/some/static/;
}
location /media/ {
alias /webapps/some/media/;
}
location ~* ^(?!/media).*.(?:jpg|jpeg|gif|png|ico|cur|gz|svg|svgz|mp4|ogg|ogv|webm|htc)$ {
root root_path;
expires 7d;
add_header Pragma public;
add_header Cache-Control "public, must-revalidate, proxy-revalidate";
access_log off;
}
location ~* ^(?!/static).*.(?:css|js|html)$ {
root root_path;
expires 7d;
add_header Pragma public;
add_header Cache-Control "public, must-revalidate, proxy-revalidate";
access_log off;
}
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_cache one;
proxy_cache_min_uses 1;
proxy_cache_use_stale error timeout;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# proxy_set_header X-Forwarded-Proto https;
proxy_set_header Host $http_host;
proxy_redirect off;
if (!-f $request_filename) {
proxy_pass http://some;
break;
}
}
error_page 404 /404.html;
location = /error_404.html {
root /webapps/some/src/templates;
}
error_page 500 502 503 504 /500.html;
location = /error_500.html {
root /webapps/some/src/templates;
}
}
答案 0 :(得分:5)
不要使用GET
请求退出,而是更改您的退出视图以接受表单POST
。
POST
请求不应缓存。
这样可以防止用户使用iframe或恶意链接注销(例如:https://example.com/logout/
,假设您没有禁用django的CSRF保护)。
答案 1 :(得分:2)
您有以下问题:
我需要知道如何删除cookie和会话!我什么时候退出!
使用以下代码:
proxy_cache_key $scheme$proxy_host$request_uri$cookie_US;
我们首先要知道$cookie_US
中的内容是什么?
基本上,为了缓存特定于用户的内容,您必须确保将http://nginx.org/r/proxy_cache_key设置为表示实际秘密的不可猜测值,然后可以在用户端清除该值以进行注销。随后,如果用户注销,那么你的缓存仍然会受到任何人仍然会产生这种秘密值的重放攻击,但它通常会被缓存的短暂到期时间最小化,而且,秘密仍然是即使在退出后也应该保守秘密。
清除会话就像简单地将变量重新设置为无法访问用户的内容一样简单,例如,您甚至可以完全在nginx中实现整个注销事项:
proxy_cache_key $scheme$proxy_host$request_uri$cookie_US;
location /logout {
add_header Set-Cookie "US=empty; Expires=Tue, 19-Jan-2038 03:14:07 GMT; Path=/";
return 200 "You've been logged out!";
}
P.S。请注意,上面的代码在技术上会让您受到XSS攻击 - 任何其他页面都可以在您的网站上简单地嵌入iframe
/logout
,并且您的用户将被注销。理想情况下,you might want to use a confirmation of logout, or check $http_referer
to ensure the link is clicked from your own site。