前言

Cookie安全相关属性
保证全站HTTPS时cookie的安全性的Nginx配置方法
配置Nginx需要在 proxy 模式下的设置

Cookie安全相关属性

  1. HttpOnly
  • 在Cookie中设置了”HttpOnly”属性,通过程序(JS脚本、Applet等)将无法读取到Cookie信息。
  • HttpOnly 设置为true 防止程序获取cookie后进行攻击
  1. Secure
  • 安全性,指定Cookie是否只能通过https协议访问,一般的Cookie使用HTTP协议既可访问
  • 设置了Secure (没有值),则只有当使用https协议连接时cookie才可以被页面访问。可用于防止信息在传递的过程中被监听捕获后信息泄漏。

3.SameSite [1]

  • Chrome浏览器在51版本后为 Cookie 新增的属性,用来防止 CSRF 攻击和用户追踪。可以设置三个值:StrictLaxNone
  • Strict 完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。Set-Cookie: CookieName=CookieValue; SameSite=Strict;
  • Lax 规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。Set-Cookie: CookieName=CookieValue; SameSite=Lax;设置了Strict或Lax以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。
  • None Chrome 计划将Lax变为默认设置。这时,网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。Set-Cookie: widget_session=abc123; SameSite=None; Secure

配置路径

nginx.conf 的 location 配置节点下

  1. proxy_cookie_path / "/; httponly; secure; SameSite=Lax";

示例

  1. server {
  2.     listen 443 ssl http2;
  3.     server_name www.cat73.org;
  5.     ssl_certificate /etc/letsencrypt/live/cat73.org/fullchain.pem;
  6.     ssl_certificate_key /etc/letsencrypt/live/cat73.org/privkey.pem;
  8.     ssl_trusted_certificate /etc/letsencrypt/live/cat73.org/chain.pem;
  10.     add_header X-XSS-Protection "1; mode=block";
  11.     add_header X-Frame-Options SAMEORIGIN;
  12.     add_header Strict-Transport-Security "max-age=15768000";
  14.     location / {
  15.         root /var/www/html;
  16.     }
  18.     location /api {
  19.         proxy_pass http://localhost:8080;
  20.         proxy_set_header Host $host;
  21.         proxy_set_header X-Real-IP $remote_addr;
  22.         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  23.         # 配置位置如下
  24.         proxy_cookie_path / "/; httponly; secure; SameSite=Lax";
  25.     }
  26. }
  1. 转载至:阮一峰的网络日志-Cookie 的 SameSite 属性
    : http://www.ruanyifeng.com/blog/2019/09/cookie-samesite.html. ↩︎