通过在相关的Set-cookie指令中设置HttpOnly
标志,它可以防止琐碎地捕获cookie的值,从而使得某些客户端攻击(例如跨站点脚本编写)变得难以利用。
此外,通过在相关的Set-cookie指令中设置secure
标志,可以确保Cookie绝不会通过未加密的通信进行传输,从而防止中间攻击中的某个人拦截Cookie。
我了解可以通过在我的nginx配置中使用nginx_cookie_flag_module
并添加set_cookie_flag HttpOnly secure;
来实现。
但是根据此nginx product page:
曲奇饼标记
在“ Set-Cookie”上游响应头中为cookie设置标志“ HttpOnly”,“ secure”和“ SameSite”。
支持详细信息:由NGINX,Inc.提供支持。有效的NGINX Plus订户。
因此,除了订阅NGINX Plus以获得此功能外,还有其他方法来设置HttpOnly和secure标志吗?
背景-我正在NGINX 1.10.3反向代理后面运行带有PHP-FPM-FCGI 7.1.19的Wordpress 4.9.6。
TL; DR
如何在没有NGINX Plus订阅的情况下在Wordpress的Set-Cookie响应标头上设置HttpOnly和安全标志?
答案 0 :(得分:0)
发现可以直接在Wordpress的上游完成此操作。
将以下几行添加到wp-config.php的顶部:
@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);
然后重新启动Wordpress。