Como evito que o nginx remova cookies seguros?

Tudo bem, antes de tudo, quando você estiver depurando um problema "estranho" com sessões baseadas em cookies HTTP, certifique-se de verificar se o Set-Cookiecabeçalho apropriado foi enviado pelo servidor!

Quando você estabeleceu que não está sendo enviado (como eu fiz), você vai querer definir a variável DEBUGde ambiente como *, caso esteja executando um aplicativo NodeJS/express.

Se você fizer isso, poderá identificar a seguinte linha em seus logs:

sessão de salvamento de erro de sessão de cookie Não é possível enviar cookie seguro por conexão não criptografada

Em seguida, você rastreará essa linha até cookie-session e, em seguida, até cookies . É quando você percebe que tudo isso tem a ver com expressar não tratar a conexão como confiável.

Portanto, o nginx não está removendo nenhum cookie. De certa forma, é a culpa embora. Encontrei a resposta na variável nginx $scheme por trás do load balancer . Para citar a resposta aceita:

# Sets a $real_scheme variable whose value is the scheme passed by the load
# balancer in X-Forwarded-Proto (if any), defaulting to $scheme.
# Similar to how the HttpRealIp module treats X-Forwarded-For.
map $http_x_forwarded_proto $real_scheme {
  default $http_x_forwarded_proto;
  ''      $scheme;
}

Você colocaria isso na configuração do nginx e usaria $real_schemeem vez de $schemepara o X-Forwarded-Protocabeçalho:

proxy_set_header "X-Forwarded-Proto" $real_scheme;

Por padrão, o nginx não faz nenhum processamento relacionado ao securesinalizador.