Gzip 与反向代理缓存

Question

Oliver Salzburg

Asked: 2016-08-17 05:53:33 +0800 CST2016-08-17 05:53:33 +0800 CST 2016-08-17 05:53:33 +0800 CST

如何防止 nginx 剥离安全 cookie？

772

我们在 cookie 上设置了secure标志，而 nginx 拒绝传输它们，因为我们通过 HTTP 与它通信。

这是完全可以理解的，因为这是预期的行为。但是，在 nginx 前面，我们运行一个 Classic Load Balancer（以前称为 Elastic Load Balancer），它接受来自 Internet 的 HTTPS 流量并通过 HTTP 与我们内部网络上的 nginx 通信。

那么，有没有办法告诉 nginx 不要剥离 cookie，因为整个连接是受信任的？

2 个回答

Voted

Oliver Salzburg · Answer 1 · 2016-08-17T06:32:08+08:00

好吧，首先，当您调试基于 HTTP cookie 的会话的“奇怪”问题时，请确保检查Set-Cookie服务器是否发送了适当的标头！

当您确定它没有被发送时（就像我所做的那样），您需要将环境变量设置DEBUG为*，以防您正在运行 NodeJS/express 应用程序。

如果这样做，您可能会在日志中发现以下行：

cookie-session 错误保存会话无法通过未加密的连接发送安全 cookie

然后，您将跟踪该行到cookie-session，然后进一步跟踪到cookies。当您意识到这一切都与表达不将连接视为受信任时有关。

所以 nginx 不会剥离任何 cookie。在某种程度上，这是罪魁祸首。我在负载均衡器后面的 nginx $scheme 变量中找到了答案。引用接受的答案：

# Sets a $real_scheme variable whose value is the scheme passed by the load
# balancer in X-Forwarded-Proto (if any), defaulting to $scheme.
# Similar to how the HttpRealIp module treats X-Forwarded-For.
map $http_x_forwarded_proto $real_scheme {
  default $http_x_forwarded_proto;
  ''      $scheme;
}

您可以将其放入您的 nginx 配置中，然后使用$real_scheme而不是$scheme用于X-Forwarded-Proto标头：

proxy_set_header "X-Forwarded-Proto" $real_scheme;

VBart · Answer 2 · 2016-08-17T06:31:55+08:00

VBart

2016-08-17T06:31:55+08:002016-08-17T06:31:55+08:00

默认情况下，nginx 不做任何与secureflag 相关的处理。

1

如何防止 nginx 剥离安全 cookie？

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

如何防止 nginx 剥离安全 cookie？

2 个回答

相关问题