nginx(七十二)nginx中与cookie相关的细节探讨

已于 2023-04-30 09:09:32 修改
阅读量6.1k 收藏 10
点赞数 1
分类专栏: nginx 文章标签: nginx Cookie
于 2023-04-29 11:26:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzj_110/article/details/130354505
版权

背景知识铺垫

  nginx中与cookie相关

①  Cookie请求头内容回顾

 cookie的形式和属性

②   nginx获取cookie值的两种方法

1) $http_cookie  -->获取Cookie请求头"所有值"

2) $COOKIE_flag  -->获取Cookie请求头的"某个key"

  [1]、'脱敏'场景在'日志'中只记录'非敏感'的key

  [2]、由于nginx会进行'lowcase',将所有的字符转化为'小写',推荐使用$COOKIE_lowercase形式

3) nginx也可通过'map'获取指定的cookie

4) 理解了'Cookie'请求头的构成,就理解了'方法二'的正则

③   nginx对Cookie请求头限制

常见: 响应头中的'Cookie'头大,导致'400'报错

client_header_buffer_size

相关参考

If the directive is specified on the server level,\

  the value from the 'default server' can be used  --> "如何理解"?

解读: 如果指令是在'server'级别指定,则仅server为'默认server'才使用'该指令'

off:  不忽略无效的'请求头',让其'透传'过去

除了下划线,nginx还可能丢弃哪些请求头

重点: nginx对ignore_invalid_headers'无效头'的判定

1) 就是'英文字母'、'数字'、'连字号'和'下划线'

2) 对'下划线'进行特殊处理,下划线可以通过'underscores_in_headers'控制

特殊场景: 需要'_下划线'、'.点 --> key为 a.b'

  

 

1) 如果'带invalid_header'且'打开ignore_invalid_headers on'配置,就会'输出日志'并忽略

2) error_log logs/error.log info;

3) error.log的'日志级别'有debug, info, notice, warn, error, crit, alert, emerg

4) 打开'error_log'的info日志,可以看到'告警'信息

client sent invalid header line: "xxxx" while reading client request headers

③  nginx对上游Set-Cookies响应头属性的处理

proxy_cookie_xxx指令的深入了解

+++++++++ "(1) 属性的处理" +++++++++

常见:'domain'、'path'、'secure'、'httponly'、'samesite'属性'修改'

涉及'3'个指令:

  [1]、proxy_cookie_domain   --> 默认是'off'

  特点:通过Set-Cookies中的'domain属性'来判断,进行'pdomain'属性的修改

  [2]、proxy_cookie_path     --> 默认是'off'

  特点:通过Set-Cookies中的'path属性'来判断,进行'path'属性的修改

  思考:正则形式是'第一个'还是'所有的'匹配

  特殊1:proxy_cookie_path / "/;secure"  --> "可以附加其它属性",使用'不规范'

  特殊2:proxy_cookie_path  '非'正则时候应该是'前缀替换',而不是'中间替换'或'全局替换'

  [3]、proxy_cookie_flags    --> 默认是'off','1.19.3'版本引入

  特点:通过Set-Cookies中的'key'来判断,进行'相关属性'的修改

注意:每个指令的'default值',以及'指令'哪个'版本'提供的

补充:只是'单向'对'上游响应头Set-Cookies'的处理

说明:两个'维度' --> 基于'cookie-av'进行'av'修改;基于'key'进行'av'修改

'多指令'附加'细节':

  1) 由于可能包含多个'Set-Cookies'响应头,nginx也可能包含多个'属性指令',以及多个'相同'指令

  2) 某一个'Set-Cookies'经过相同指令'cookie-av'属性的洗礼,第一个'属性指令'匹配即'停止'

  3) 再继续经过其它'cookie-av'处理
​
注意: 一些高级属性与'nginx版本'的适配

相关属性见该博客

+++++++++ "(2) Set-Cookies响应头的处理" +++++++++

1)	proxy_cache_valid '指令'

如果包括 'Set-Cookie' 响应头,该响应'不会'被缓存

2) 	proxy_ignore_headers

3)  proxy_hide_header

思考: 哪些'响应头字符'是合法的

备注:'点'在ASCII中是46'2e',至少是'满足RFC规范'的

案例: 响应头'eg --> "Host "'带空格,nginx处理'报错'

④    nginx处理跨域请求Cookie

+++++++++++ "细节点" +++++++++++

1) 204 '状态码'  --> add_header 'always'

HTTP 204状态码含义: 请求已经被处理,但无返回内容'No Content',这里指的是'response body'

'204'的三个应用场景:

   [1]、跨域==> 204 --> add_header 'always'

   [2]、PUT、DELET进行'资源'更新  --> '元数据更新'

   [3]、OPTIONS预检请求,正确['204'],错误['412']

   备注:Range相关的206和416状态码

 204(No-Content),服务器成功处理了请求,但不需要返回任何实体内容

3) 了解'常见报错'

重点理解各种Access-Control-Allow响应头以及跨域的报错

Nginx通过Cookie做灰度就这么简单

默认proxy_set_header Host $proxy_host导致跨域Cookie丢失

nginx 反向代理及 Cookie 的四个问题

nginx 使用 proxy_cookie_path 解决反向代理 cookie 丢失导致无法登录等问题

⑤   Cookie在nginx的应用 

思考:nginx利用cookie可以'做哪些操作'? --> 'map匹配'

场景:获取Cookie中的信息进行'限流'、'黑白'名单、'灰度'发布等

备注:后续'写一个专栏'

 nginx发送一次请求的完整过程

⑥  Cookie浏览器使用的限制

1) 不同'厂商'的浏览器,并且相同厂商的'不同版本'的浏览器,对Cookie的使用'有差异'

  备注: 涉及Cookie的'存储'和'使用'

2) 后续关注

  [1]、'CSRF'的机制

  [2]、Cookie丢失的原因   --> "抓包分析"
 
    1) 是指请求'没有携带'预期的Cookie

    2) 还是js读取不到后端返回的Set-Cookie

  [3]、session共享方案 --> memcached、tomcat自身的、redis、spring的集成方案

理解lua指令

wzj_110
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx下无法使用文URL的解决方法
09-30
最近发现有很多的url打不开,后来仔细观察后发现是文url的问题,所以这篇文章主要给大家介绍了Nginx下无法使用文URL的解决方法,文提供了两种方法供大家参考学习,需要的朋友们下面来一起看看吧。
使Nginx服务器支持文URL的相关配置详解
09-30
主要介绍了使Nginx服务器支持文URL的相关配置方法,搜索引擎方面Google目前对文URL的支持度也很好,需要的朋友可以参考下
利用nginx解决cookie跨域访问的方法
01-20
一、写在前面 最近需要把阿里云上的四台服务器的项目迁移到客户提供的新的项目,原来的四台服务器用到了一级域名和二级域名。比如aaa.abc.com 和bbb.abc.com 和ccc.abc.com。其aaa.abc.com登录,通过把cookie的信息setDomain给.abc.com。其他系统可以共享这个cookie。但是新的四台服务器并没有申请域名,只有四个ip: 192.168.0.1    单点登录服务器 192.168.0.2 192.168.0.3 192.168.0.4 因为每台服务器有两个项目,都用到单点登录,所以通过修改新的共享登录方式花费时间太多,于是在网上搜c
nginx--解决响应头带Set-Cookie导致的验证失败
最新发布
m0_50207524的博客
03-25 563
在用nginx做代理的时候,会发现nginx在访问不同ip请求的时候会带setCookie 导致后端就是放开cookie验证,在访问玩这个链接他更新了cookie导致在访问其他链接报错这个时候就需要禁用setCookie,可通过nginx的Set-Cookie属性Secure来进行实现。
nginxcookie缓存问题及配置文件研究
囧思志
10-20 8581
其实我很早就在考虑这个问题,nginx既然能缓存,为什么用户和用户间的缓存不会串呢? 直到OpenCDN的用户反馈上来存在用户和用户间的缓存互串问题,我才去研究。
centos8 nginx1.20.1 与nginx配置文件
05-03
nginx.conf nginx-1.20.1.tar.gz 这是关于centos8的nginxnginx 的配置https文件
nginx配置客户端保存cookie
大洪的专栏
03-19 1万+
nginx设置cookie
nginx添加Set-Cookie属性Secure和HttpOnly
热门推荐
sumengnan的博客
02-23 3万+
问题:在https环境,等保要求为set-cookie增加secure属性(为了安全,防止http请求时使用此cookie) 解决办法: 在nginx配置文件可以是用proxy_cookie_path属性实现,该属性可以修改response set-cookie的path属性。如下: proxy_cookie_path / "/; Path=/; Secure; HttpOnly"; 完整的location代码: location / { proxy...
nginx获取cookie
fengge55的博客
08-06 3904
#安装nginx wget https://centos.pkgs.org/7/nginx-x86_64/nginx-1.16.1-1.el7.ngx.x86_64.rpm.html yum -ivh nginx-1.16.0-1.el7.ngx.x86_64.rpm #修改配置文件 [root@hqvpt00166sa02 nginx]# vi /etc/nginx/nginx.conf #user nginx; worker_processes auto; error_log /var/l...
Nginx转发丢失cookie表现形式以及解决方案
PhilsphyPrgram的博客
11-07 5930
nginx转发丢失cookie
Nginx 使用 proxy_cookie_path 解决反向代理 cookie 丢失导致无法登录等问题
Aesop的博客
09-26 1万+
proxy_cookie_path 语法 proxy_cookie_path source target; source 源路径 target 目标路径 使用原因 cookie 的 path 与地址栏上的 path 不一致 浏览器就不会接受这个 cookie,无法传入 JSESSIONID 的 cookie 导致登录验证失败 使用场景 当 nginx 配置的反向代理的路径和源地址路径不一致时使用 使用 Demo 重点看proxy_cookie_path NGINX # elastic-job
nginx cookie有效期讨论小结
01-09
每一次访问都会在浏览器生成Cookie,那么Cookie的存在对于用户来说是好还是坏呢?说实话,这玩意的存在确实会带来一系列的问题,有趣的是几乎每个站点都难以离开Cookie,由于Cookie的使用因其貌似简单,而很容易被人轻视。最近在开发过程,审视应用Cookie代码,几乎只需要很小的代价就可以获得巨大的安全收益。因此写下这份笔记加深记忆。 cookie的安全隐患 在实际的应用场景Cookie被用来做得最多的一件事是保持身份认证的服务端状态。这种保持可能是基于会话Session的,也有可能是持久性的。然而不管哪一种,身份认证Cookie包含的服务端票据Ticket一旦泄露,那么服
如何让Nginx支持文文件名具体设置步骤
09-30
想让Nginx支持文文件名首先得让你的系统有语语言包,设置前可以执行:locale 看一下,如果显示是en_US.UTF-8,即是正常,不用按下面的步骤设置
详解Nginx服务器map模块的配置与使用
09-30
主要介绍了Nginx服务器map模块的配置与使用,文同时给出了ngx_http_map_module模块的map命令用于制作服务器限速白名单的示例,需要的朋友可以参考下
Nginx防止SQL注入攻击的相关配置介绍
09-30
主要介绍了Nginx防止SQL注入攻击的相关配置介绍,文提到的基本思路为将过滤的情况用rewrite重订向到404页面,需要的朋友可以参考下
nginx交叉编译与部署.pdf
08-07
基于海思3559A 对nginx-1.6.2 openssl-1.0.2的交叉编译过程,nginx-1.6.2的环境部署
Nginx配置参数文说明详解(负载均衡与反向代理)
09-29
最近在看高性能Linux服务器构建实战的Nginx章节,对其nginx介绍的非常详细,现把经常用到的Nginx配置参数文说明摘录和nginx做负载均衡的本人真实演示实例抄录下来以便以后查看
详解NginxHTTP的keepalive相关配置
09-30
主要介绍了NginxHTTP的keepalive相关配置,以及Nginx的Httpd守护进程相关的keepalive timeout配置,需要的朋友可以参考下
Nginx与Lua灰度发布的实现
09-17
主要介绍了Nginx与Lua灰度发布的实现,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
nginx 加密会话(ssl)cookie 缺少 secure 属性
07-16
nginx,加密会话(ssl)cookie缺少secure属性。secure属性是一个标记,用于确保cookie只能在通过HTTPS安全连接时传输。 缺少secure属性可能会导致安全风险。当缺少secure属性时,如果HTTP请求使用非加密的连接发送,那么cookie也会以明文形式传输,容易受到恶意攻击者的窃取或篡改。因此,为了保护敏感信息的安全性,应该始终向ssl会话cookie添加secure属性。 要在nginx添加secure属性,可以通过以下方式进行配置: 1. 打开nginx配置文件。 2. 找到相关的server或location块,这里设置了ssl参数。 3. 在该块内找到包含proxy_cookie_path或proxy_cookie_domain的语句。 4. 在语句添加"secure"属性,例如,proxy_cookie_path / "/; secure"。 5. 保存配置文件并重新加载nginx服务。 以上步骤将会使nginx服务器向客户端发送一个包含secure属性的加密会话cookie。这样,当使用非加密的HTTP协议发送请求时,浏览器将不会发送该cookie,保护了加密会话的安全性。 总之,通过为加密会话cookie添加secure属性,可以有效地提高安全性,并避免受到潜在的攻击威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值