Nginx 删除 HttpOnly、Secure(nginx map 的一个应用场景)

最新推荐文章于 2024-08-06 12:03:28 发布
最新推荐文章于 2024-08-06 12:03:28 发布
阅读量3k 收藏 1
点赞数 3
分类专栏: 应用部署
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/catoop/article/details/113737763
版权

如题,百度能解决问题的帖子暂时没发现。后转战谷歌,看到一个解决别的问题的帖子,从中受到了启发,醍醐灌顶后问题终得以解决。

实际需求的情况是:公司做一个中心化平台,需要对接很多第三方中间件系统,其中有一个点是需要控制各个子平台的Cookie信息(内部运维使用,不对互联网开放,所以想去除HttpOnly限制)。

  • 各个平台埋入一个 html 文件,通过里面的 js 脚本读取和修改对应第三方系统的 cookie 信息。
  • 一些第三方系统对 Cookie 设置了 HttpOnly,通过 js 是无法读取和修改的。
  • 所有的接入系统,都通过平台的一个 nginx 进行了管理。

于是乎,萌生了一个方案:
既然所有平台都由统一的 nginx 管理,那么直接在 nginx 里,把 HttpOnly 给干掉不就行了?

针对此方案,变通的方法是使用 nginx 的 map 映射变量法来重新设置 Cookie 的值(说出来挺抽象的,下面直接看代码便一清二楚了)

# 删除Cookie中的HttpOnly
map $sent_http_set_cookie $resp_cookie {
    ~*(?<CK>.+)HttpOnly $CK;
}
    
server {
    listen 80;
    server_name  *.test.com;
    
    location / {
    
        add_header Set-Cookie $resp_cookie;
        
        proxy_pass  http://xxxxx;
   }
}
  • 按照Cookie规范,HttpOnly是最后一个字符串,所以通过在 map 中使用正则表达式提取除 HttpOnly 之前的值,然后使用 add_header 复写到 Cookie 中。
  • $sent_http_set_cookie 为 nginx 内置变量,还有很多其他 $send_http 开头的变量表示响应内容中的相关信息。
  • 处理 Cookie 的 Secure 也是一样(本文略)

通过本文内容可以发现,其实这个方法并不是 nginx 专门为 HttpOnly 设置的方案,我认为这个方法可以解决很多类似的问题。除本文之外的其他需求有时候也可以通过这样的正则提取替换法来实现。

(END)

catoop
关注
专栏目录
Nginx(23)-Nginx Plus增强功能之负载均衡
davidwkx的博客
12-10 1285
Nginx作为开源版,提供大量的丰富功能,能满足大部分需要。Nginx Plus是Nginx的加强版,是在开源Nginx功能基础上,提供了许多适合生产环境的专业功能,包括高可用性、主动健康检查、DNS 系统发现、会话保持和 RESTful API等,但这些功能基本都需要收费。本文讲述这些增强功能。
[ 成为架构师系列 ] 2. 深入理解 Cookie 与 Session ,Facade 设计模式, 分布式 Session...
程序员光剑
11-24 9228
1.什么是 Cookie Cookie,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息 打开百度首页:https://www.baidu.com/ 浏览器 console 输入: > document.cookie "BA...
nginx去除set cookie的secure属性的办法
weixin_41083513的博客
07-04 162
背景: 1、nginx 需要设置,以达成通过http的形式访问,重定向到另外一台服务上。但是通过前端排查,浏览器前端set cookie 一直没有通过(被拦截了)。原因是set cookie带有secure属性,无法应用于http。set cookie属性如果为true,则只能应用于https上。 2、已知,已经设置了 h...
Java 项目 Tomcat8.x去除默认设置的httpOnly
yuzfengxu的博客
02-21 1万+
1.查看tomcat conf/context.xml文件并修改:&lt;Context useHttpOnly="false"&gt;2.修改项目web.xml&lt;session-config&gt; &lt;session-timeout&gt;20&lt;/session-timeout&gt; &lt;cookie-config&gt; &lt;http-only&gt;fals
关于nginx HTTP安全响应问题
最新发布
dzqxwzoe的博客
08-06 920
一、背景二、http基本安全配置2.1 host头攻击漏洞2.2 http method 请求方式攻击漏洞2.3 点劫持漏洞(X-Frame-Options)2.4 X-Download-Options响应头缺失2.5 Content-Security-Policy响应头缺失2.6 Strict-Transport-Security响应头缺失2.7 X-Permitted-Cross-Domain-Policies响应头缺失2.8 Referrer-Policy响应头缺失。
nginx屏蔽版本号及nginx设置HttpOnly
qq_44530691的博客
06-19 2253
nginx屏蔽版本号及nginx设置HttpOnly
nginx 服务器重启命令,关闭
ardo_pass的博客
11-07 182
nginx -s reload :修改配置后重新加载生效 nginx -s reopen :重新打开日志文件 nginx -t -c /path/to/nginx.conf 测试nginx配置文件是否正确 或者进入nginx安装目录sbin下,输入命令./nginx -t 关闭nginxnginx -s stop :快速停止nginx quit :完整有序的停止nginx
检测到会话cookie缺少HttpOnly属性
lxyoucan的博客
07-15 1687
绿盟科技"远程安全评估系统"安全评估报告,这里记录一下处理过程。
不使用K8S和Docker Swarm的情况下,纯Docker环境下nginx+hyperf+pm2的部署方案
jobsen123的专栏
07-16 3799
一 、构建Php镜像,其镜像包含pm2和pm2-logrotate以及ssh公钥登录功能 Dockerfile FROM ubuntu:18.04 MAINTAINER jobsen123@qq.com ENV DEBIAN_FRONTEND noninteractive RUN sed -i -e s@/archive.ubuntu.com/@/mirrors.aliyun.com/@g -e s@/security.ubuntu.com/@/mirrors.aliyun.com/@g /etc/.
两个部门,六轮面试,终与字节无缘
Firstlucky77的博客
06-24 319
这个面试机会来的挺意外的,先在 Boss 投递的简历,后再牛客网看到了内推人的微信,加了微信问了下进度,挂了,内推人给我打电话根据简历简单询问了一下情况(内推人很谦逊,毕业于一所 211 大学,和我说他的学历也很一般),然后和 hr 沟通捞了我一下,才有的这个面试机会,太感谢了。6 月 9 日 16:00大概 45 分钟吧说一面就给我过了,等会 17:00 二面大概 40 分钟吧,等会 18:00 三面每轮面试官问的问题都很开放,引导你自己说,再根据你所说的东西再去问一些问题 连着三面,因为三面比较惨所以对
ingress-controller安装配置
qq_35008624的博客
12-26 1666
ingress-controller有两种安装方式:Deployment和DeamonSet Deployment模式安装: 需要注意的是: 当pod 设置hostNetwork: true时候,Pod的所有容器就直接暴露在宿主机的网络环境,这时候,Pod的PodIP就是其所在Node的IP。 对于同Deployment下的hostNetwork: true启动的Pod,每个node上只能启动一个。也就是说,Host模式的Pod启动副本...
NGINX & PHP Cookie 会话 PHPSESSID 缺少 HTTPOnlySecure 属性解决方案
sunsineq的专栏
06-25 3225
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。cookieSecure指的是安全性。在WEB应用,对于敏感业务,如:登录或者付款,需要使用HTTPS来保证内容的传输安全,而在用户成功获得授权之后,获得的客户端身份cookie如果没有设置为Secure,那么很有可能会被非HTTPS页面拿到,从而造成重要的身份泄露。
nginx配置客户端保存cookie
大洪的专栏
03-19 1万+
nginx设置cookie
HTTPS 之 请求头缺少HTTPOnlySecure属性解决方案
enjoy.day
02-09 3330
HTTPS 之 请求头缺少HTTPOnlySecure属性解决方案
nginx使用心得
tlxamulet的博客
08-10 354
四个用途:正向代理:内网用户访问internet反向代理:对internet用户屏蔽内网服务器,往往与负载均衡连用。负载均衡web server。
HTTP的Cookie、Set-Cookie
XHT117的博客
08-21 3811
HTTP的Cookie、Set-Cookie
会话cookie 缺少 HttpOnly 属性安全漏洞原理和解决方案
日拱一卒无有尽,功不唐捐终入海
12-16 1万+
HttpOnly 是一种 cookie 属性,它的作用是防止客户端的脚本语言(如JavaScript)访问和操作 cookie。当一个 cookie 的 HttpOnly 属性被设置为 true 时,客户端脚本无法通过 document.cookie 或其他方法读取或修改该 cookie。
Cookie相关安全性配置 (Nginx篇) 添加 HttpOnly Secure SameSite参数
热门推荐
ilqgffvramusm2864的博客
05-22 1万+
目录前言Cookie安全相关属性配置路径示例 前言 Cookie安全相关属性 保证全站HTTPS时cookie的安全性的Nginx配置方法 配置Nginx需要在 proxy 模式下的设置 Cookie安全相关属性 HttpOnly : 在Cookie设置了"HttpOnly"属性,通过程序(JS脚本、Applet等)将无法读取到Cookie信息。 将HttpOnly 设置为true 防止程序获取cookie后进行攻击 Secure : 安全性,指定Cookie是否只能通过https协议访问
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

catoop

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值