Nginxに「HttpOnly」および「Secure」Cookieフラグを追加&PHP
PHPおよびWordPressでNginxを実行しています。Acunetixはこれらのフラグを設定することをお勧めしますが、ドキュメントはありません。少し調べましたが、これを実装する方法を正確に示すものは何も見ていません。 。私はこのモジュールを持っています: http://wiki.nginx.org/HttpHeadersMoreModule Nginxでそれが役立つ場合。これらのフラグを設定する方法についての情報?ありがとう。
ここでリクエストされたように、クッキーのサンプル
Cookie:__cfduid = d3-shortened-08; cf_use_ob = 0; wordpress_logged_in_6dfda-shortened-e3e82d5; __utma = 21-shortened-436.19; __utmc = 21519150; __utmz = 2119150.1396063475.3.2.utmcsr = google | utmccn =(organic)| utmcmd = organic | utmct r =(not%20provided); Testing = 1; sid = a14-shortened-384; sessiontest = 1; wp-settings-2 = editor%3Dhtml%26wplink%3D0%26uploader%3D1%26mfold%3Do%26ed_size%3D 677%26libraryContent%3Dbrowse%26urlbutton%3Dfile; wp-settings-time-2 = 139745167; wordpress_test_cookie = WP + Cookie + check; wordpress_logged_in_a9-shortened-d2a7 = DrDinosaur%7C1397980-shortened-2f9
Php.iniを編集して session.cookie_httponly と session.cookie_secure を設定するか、アプリケーションで setcookie を使用します。
CookieはPHPコードで設定され、nginxはPHPから受け取った情報をサイト訪問者に中継しているだけです。
Nginx-headers-moreモジュールでヘッダーを変更できる可能性がありますが、そのアプローチで新しい問題を引き起こす可能性もあります。
より安全な方法は、WPのCookie設定コードにパッチを適用して、httponlyおよびsecure -featuresでCookieの設定を有効にすることです。
WPでこれらを有効にするための推奨される方法があるかどうか、または実際のCookie設定コードをハックする必要があるかどうかはわかりません。
これを確認するには:__cfduidはCloudflareによって提供されるCookieであり、機密データを保持しません。また、secureフラグを持つように変更することもできません。
nginx_cookie_flag_module を使用してみてください。それはあなたの問題を解決します。