Мы пытаемся поддерживать соответствие PCI для нашего приложения, и после аудита в отчете говорилось, что нам нужно установить secure отметьте наши файлы cookie. Сайт представляет собой HTTPS (с использованием фунта для завершения https), расположенный перед haproxy, который обслуживает несколько поддерживаемых серверов приложений, а именно:
CLIENT ->(https)-> [Pound]->[HAProxy] ->(http)-> { app001 | app002 | appNNN }
Я провел некоторое исследование (поиск в Google), но не смог найти ничего окончательного об этом, но возникнет ли проблема с сервером приложений, устанавливающим безопасный файл cookie через http между ним и балансировщиком, и сможет ли он это сделать клиенту по https?
В нашей промежуточной среде SSL не настроен так же, как в производственной среде, поэтому я не могу это протестировать, но я пытаюсь разработать план действий и посмотреть, есть ли что-то, чего мне не хватает, прежде чем мы попытаемся двигаться вперед с этим.
Вы можете установить флаг безопасности для cookie независимо от того, было ли соединение с исходным сервером защищенным или нет. Клиент интерпретирует этот флаг и фактически не будет устанавливать cookie, если соединение не было защищено.
Согласно RFC 6265:
Когда cookie имеет атрибут Secure, пользовательский агент будет включать cookie в HTTP-запрос, только если запрос передается по безопасному каналу (обычно HTTP через Transport Layer Security (TLS) [RFC2818]).
Видеть RFC 6265 для получения дополнительной информации о том, как работает этот флаг (и файлы cookie в целом).