Nginx set_cookie_flag用于Wordpress的安全强化替代方案

时间:2018-09-26 09:27:02

标签: wordpress security nginx cookies

通过在相关的Set-cookie指令中设置HttpOnly标志,它可以防止琐碎地捕获cookie的值,从而使得某些客户端攻击(例如跨站点脚本编写)变得难以利用。

此外,通过在相关的Set-cookie指令中设置secure标志,可以确保Cookie绝不会通过未加密的通信进行传输,从而防止中间攻击中的某个人拦截Cookie。

我了解可以通过在我的nginx配置中使用nginx_cookie_flag_module并添加set_cookie_flag HttpOnly secure;来实现。

但是根据此nginx product page

  

曲奇饼标记

     

在“ Set-Cookie”上游响应头中为cookie设置标志“ HttpOnly”,“ secure”和“ SameSite”。

     

支持详细信息:由NGINX,Inc.提供支持。有效的NGINX Plus订户

因此,除了订阅NGINX Plus以获得此功能外,还有其他方法来设置HttpOnly和secure标志吗?

背景-我正在NGINX 1.10.3反向代理后面运行带有PHP-FPM-FCGI 7.1.19的Wordpress 4.9.6。

TL; DR

如何在没有NGINX Plus订阅的情况下在Wordpress的Set-Cookie响应标头上设置HttpOnly和安全标志?

1 个答案:

答案 0 :(得分:0)

发现可以直接在Wordpress的上游完成此操作。

将以下几行添加到wp-config.php的顶部:

@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);

然后重新启动Wordpress。