С помощью ModSecurity с участием Apache и OWASP CRS есть некоторые правила, которые используют специфические директивы apache, например (в файле modsecurity_crs_55_application_defects.conf):
Header edit Set-Cookie "^((?i:(_?(COOKIE|TOKEN)|atlassian.xsrf.token|[aj]?sessionid|(php)?sessid|(asp|jserv|jw)?session[-_]?(id)?|cf(id|token)|sid))=(?i:(?!httponly).)+)$" "$1; HttpOnly"
и
Header edit Set-Cookie "^((?i:(_?(COOKIE|TOKEN)|atlassian.xsrf.token|[aj]?sessionid|(php)?sessid|(asp|jserv|jw)?session[-_]?(id)?|cf(id|token)|sid))=(?i:(?!secure).)+)$" "$1; secure" env=secure_site
Когда используешь Nginx вместо Apache на эти директивы жалуется nginx.
Каковы эквивалентные правила для Nginx?