web-dev-qa-db-ja.com

Nginxに「HttpOnly」および「Secure」Cookieフラグを追加&PHP

PHPおよびWordPressでNginxを実行しています。Acunetixはこれらのフラグを設定することをお勧めしますが、ドキュメントはありません。少し調べましたが、これを実装する方法を正確に示すものは何も見ていません。 。私はこのモジュールを持っています: http://wiki.nginx.org/HttpHeadersMoreModule Nginxでそれが役立つ場合。これらのフラグを設定する方法についての情報?ありがとう。

ここでリクエストされたように、クッキーのサンプル

Cookie:__cfduid = d3-shortened-08; cf_use_ob = 0; wordpress_logged_in_6dfda-shortened-e3e82d5; __utma = 21-shortened-436.19; __utmc = 21519150; __utmz = 2119150.1396063475.3.2.utmcsr = google | utmccn =(organic)| utmcmd = organic | utmct‌ r =(not%20provided); Testing = 1; sid = a14-shortened-384; sessiontest = 1; wp-settings-2 = editor%3Dhtml%26wplink%3D0%26uploader%3D1%26mfold%3Do%26ed_size%3D‌ 677%26libraryContent%3Dbrowse%26urlbutton%3Dfile; wp-settings-time-2 = 139745167; wordpress_test_cookie = WP + Cookie + check; wordpress_logged_in_a9-shortened-d2a7 = DrDinosaur%7C1397980-shortened-2f9

3
DrDinosaur

Php.iniを編集して session.cookie_httponlysession.cookie_secure を設定するか、アプリケーションで setcookie を使用します。

4
HTTP500

CookieはPHPコードで設定され、nginxはPHPから受け取った情報をサイト訪問者に中継しているだけです。

Nginx-headers-moreモジュールでヘッダーを変更できる可能性がありますが、そのアプローチで新しい問題を引き起こす可能性もあります。

より安全な方法は、WPのCookie設定コードにパッチを適用して、httponlyおよびsecure -featuresでCookieの設定を有効にすることです。

WPでこれらを有効にするための推奨される方法があるかどうか、または実際のCookie設定コードをハックする必要があるかどうかはわかりません。

1
Tero Kilkanen

これを確認するには:__cfduidはCloudflareによって提供されるCookieであり、機密データを保持しません。また、secureフラグを持つように変更することもできません。

1
Ryank

nginx_cookie_flag_module を使用してみてください。それはあなたの問題を解決します。

0
Airis