注销不工作，在nginx上缓存，如何允许注销？

Question

我已经缓存了所有内容，如果我登录了我的帐户，您将无法再注销了）退出后如何退出？我需要知道如何删除cookie和会话！我什么时候退出！

  

P.S。如果我将在nginx级别禁用缓存，一切正常，   nginx中的问题

nginx conf

    gzip on;
    gzip_disable "msie6";

    gzip_vary on;
    gzip_proxied any;
    gzip_comp_level 6;
    gzip_buffers 16 8k;
    gzip_http_version 1.1;
    gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;

    proxy_connect_timeout 5;
    proxy_send_timeout 10;
    proxy_read_timeout 10;
    proxy_buffering on;
    proxy_buffer_size 16k;
    proxy_buffers 24 16k;
    proxy_busy_buffers_size 64k;
    proxy_temp_file_write_size 64k;

    proxy_temp_path /tmp/nginx/proxy_temp;
    add_header X-Cache-Status $upstream_cache_status;
    proxy_cache_path /tmp/nginx/cache levels=1:2 keys_zone=first_zone:100m;
    proxy_cache one;
    proxy_cache_valid any 30d;
    proxy_cache_key $scheme$proxy_host$request_uri$cookie_US;

服务器配置

upstream some site {
  server unix:/webapps/some/run/gunicorn.sock fail_timeout=0;
}

server {
    listen   80;
    server_name server name;
    expires 7d;
    client_max_body_size 4G;

    access_log /webapps/some/logs/nginx-access.log;
    error_log /webapps/some/logs/nginx-error.log;
    error_log /webapps/some/logs/nginx-crit-error.log crit;
    error_log /webapps/some/logs/nginx-debug.log debug; 
    location /static/ {
        alias   /webapps/some/static/;
    }

    location /media/ {
        alias   /webapps/some/media/;
    }
    location ~* ^(?!/media).*.(?:jpg|jpeg|gif|png|ico|cur|gz|svg|svgz|mp4|ogg|ogv|webm|htc)$ {
        root root_path;
        expires 7d;
        add_header Pragma public;
        add_header Cache-Control "public, must-revalidate, proxy-revalidate";
        access_log off;
    }    
    location ~* ^(?!/static).*.(?:css|js|html)$ {
        root root_path;
        expires 7d;
        add_header Pragma public;
        add_header Cache-Control "public, must-revalidate, proxy-revalidate";
        access_log off;
    }     

    location / {
        proxy_set_header X-Real-IP $remote_addr;
        proxy_cache one;
        proxy_cache_min_uses 1;
        proxy_cache_use_stale error timeout;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        # proxy_set_header X-Forwarded-Proto https;
        proxy_set_header Host $http_host;
        proxy_redirect off;
        if (!-f $request_filename) {
            proxy_pass http://some;
            break;
        }
    }
    error_page 404 /404.html;
    location = /error_404.html {
        root /webapps/some/src/templates;
    }

    error_page  500 502 503 504 /500.html;
    location = /error_500.html {
        root /webapps/some/src/templates;
    }
}

Answer 1

不要使用GET请求退出，而是更改您的退出视图以接受表单POST。

POST请求不应缓存。

这样可以防止用户使用iframe或恶意链接注销（例如：https://example.com/logout/，假设您没有禁用django的CSRF保护）。

注意：有一个ticket on django's bug tracker related to this issue。

Answer 2

您有以下问题：

  

我需要知道如何删除cookie和会话！我什么时候退出！

使用以下代码：

proxy_cache_key $scheme$proxy_host$request_uri$cookie_US;

我们首先要知道$cookie_US中的内容是什么？

• 如果它只是登录名，那么你需要认识到任何知道登录名的人，并设置自己的cookie，并且知道这个用户的隐藏资源的完整URL（并且只有这样的用户）可以访问，并且最近被访问过（因此新近缓存），现在可以获得对给定资源的“未授权”访问，因为它将直接从缓存提供，并且可能没有任何类型的重新验证

基本上，为了缓存特定于用户的内容，您必须确保将http://nginx.org/r/proxy_cache_key设置为表示实际秘密的不可猜测值，然后可以在用户端清除该值以进行注销。随后，如果用户注销，那么你的缓存仍然会受到任何人仍然会产生这种秘密值的重放攻击，但它通常会被缓存的短暂到期时间最小化，而且，秘密仍然是即使在退出后也应该保守秘密。

清除会话就像简单地将变量重新设置为无法访问用户的内容一样简单，例如，您甚至可以完全在nginx中实现整个注销事项：

proxy_cache_key $scheme$proxy_host$request_uri$cookie_US;
location /logout {
    add_header Set-Cookie "US=empty; Expires=Tue, 19-Jan-2038 03:14:07 GMT; Path=/";
    return 200 "You've been logged out!";
}

P.S。请注意，上面的代码在技术上会让您受到XSS攻击 - 任何其他页面都可以在您的网站上简单地嵌入iframe /logout，并且您的用户将被注销。理想情况下，you might want to use a confirmation of logout, or check $http_referer to ensure the link is clicked from your own site。