У меня Nginx работает с PHP и WordPress. Acunetix рекомендует устанавливать эти флаги, но они не предоставляют документации. Я немного осмотрелся, но не увидел ничего, что показало бы, как именно это реализовать. У меня есть такой модуль: http://wiki.nginx.org/HttpHeadersMoreModule на Nginx, если это поможет. Есть информация о том, как установить эти флаги? Спасибо.
По запросу здесь образец файла cookie
Cookie: __cfduid = d3-сокращенный-08; cf_use_ob = 0; wordpress_logged_in_6dfda-сокращенный-e3e82d5; __utma = 21-укороченный-436,19; __utmc = 21519150; __utmz = 2119150.1396063475.3.2.utmcsr = google | utmccn = (organic) | utmcmd = organic | utmct r = (не% 20предоставлено); тестирование = 1; sid = a14-укороченный-384; sessiontest = 1; wp-settings-2 = редактор% 3Dhtml% 26wplink% 3D0% 26uploader% 3D1% 26mfold% 3Do% 26ed_size% 3D 677% 26libraryContent% 3Dbrowse% 26urlbutton% 3Dfile; wp-настройки-время-2 = 139745167; wordpress_test_cookie = WP + Cookie + проверка; wordpress_logged_in_a9-shorttened-d2a7 = DrDinosaur% 7C1397980-сокращенный-2f9
Отредактируйте свой php.ini и установите session.cookie_httponly и session.cookie_secure или используйте setcookie в вашем приложении.
Чтобы подтвердить это: __cfduid это файл cookie, предоставляемый Cloudflare, и не содержит конфиденциальных данных. Вы также можете не изменять его, чтобы secure флаг тоже.
Файлы cookie устанавливаются в коде PHP, а nginx просто передает информацию, которую он получает от PHP, посетителю сайта.
Возможно, вы сможете изменить заголовки с помощью модуля nginx-headers-more, но вы также можете создать новые проблемы с этим подходом.
Более безопасный способ - исправить код настройки файлов cookie WP, чтобы разрешить настройку файлов cookie с httponly и безопасными функциями.
Я не знаю, есть ли какие-либо предпочтительные методы включения их в WP, или вам просто нужно взломать фактический код настройки файлов cookie.
Попробуй использовать nginx_cookie_flag_module. Это решит вашу проблему.