SRE文档HttpOnly Secure SameSite参数解决Cookie跨域丢失
Chrome 升级到80版本后,默认限制了跨域携带cookie给后端。我们也提到了可以修改Chrome的设置或在服务端添加SameSite设置来解决,但是普通的Web框架需要升级到最新版本才支持SameSite属性,升级Web框架成本太高,因此使用Nginx来解决SameSite问题的办法
一、Cookie安全相关属性
HttpOnly :
在Cookie中设置了“HttpOnly”属性,通过程序(JS脚本、Applet等)将无法读取到Cookie信息。
将HttpOnly 设置为true 防止程序获取cookie后进行攻击。
Secure :
安全性,指定Cookie是否只能通过https协议访问,一般的Cookie使用HTTP协议既可访问。
设置了Secure (没有值),则只有当使用https协议连接时cookie才可以被页面访问。可用于防止信息在传递的过程中被监听捕获后信息泄漏。
SameSite:
Chrome浏览器在51版本后为 Cookie 新增的属性,用来防止 CSRF 攻击和用户追踪。可以设置三个值:Strict、 Lax、 None
Strict:完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。Set-Cookie: CookieName=CookieValue; SameSite=Strict;
Lax:规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。Set-Cookie: CookieName=CookieValue; SameSite=Lax;设置了Strict或Lax以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。
None:Chrome 计划将Lax变为默认设置。这时,网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。Set-Cookie: key=value; SameSite=None; Secure
proxy_cookie_path参数的作用是用来改变cookie的路径
语法: proxy_cookie_path path replacement; path就是你要替换的路径 replacement 就是要替换的值
为什么cookie 会丢失? 比如说一个没有经过代理的地址 : http://127.0.0.1/project cookie_path:/project 如果按照第二种方式代理那么地址就是 : http://127.0.0.1/proxy_path cookie_path: /proxy_path 如果cookie_path与地址栏上的path不相符游览器就不会接受这个cookie,自然session就失效了。
解决nginx proxy_pass反向代理cookie,session丢失的问题
1)host、端口转换,cookie不会丢失
location /project {
proxy_pass http://127.0.0.1:8080/project;
}location /project {
proxy_pass http://127.0.0.1:8080/project;
}通过浏览器访问http://127.0.0.1/project时,浏览器的cookie内有jsessionid。再次访问时,浏览器会发送当前的cookie
2)如果路径也变化了,则需要设置cookie的路径转换,nginx.conf的配置如下
location /proxy_path {
proxy_pass http://127.0.0.1:8080/project;
}location /proxy_path {
proxy_pass http://127.0.0.1:8080/project;
}通过浏览器访问http://127.0.0.1/proxy_path时,浏览器的cookie内没有jsessionid。再次访问时,后台当然无法获取到cookie了。 加上路径转换:proxy_cookie_path /project /proxy_path;则可以将project的cookie输出到proxy_path上。 保证cookie不丢失的正确配置是:
location /proxy_path {
proxy_pass http://127.0.0.1:8080/project;
proxy_cookie_path /project /proxy_path;
}location /proxy_path {
proxy_pass http://127.0.0.1:8080/project;
proxy_cookie_path /project /proxy_path;
}3)直接代理本地端口
location /proxy_path {
proxy_pass http://127.0.0.1:8080/;
proxy_cookie_path /project /proxy_path; # project 为你的项目名 也可用变量代替
}location /proxy_path {
proxy_pass http://127.0.0.1:8080/;
proxy_cookie_path /project /proxy_path; # project 为你的项目名 也可用变量代替
}案例
server {
listen 443 ssl http2;
server_name www.demo.com;
# add_header X-XSS-Protection "1; mode=block";
# add_header X-Frame-Options SAMEORIGIN;
add_header Strict-Transport-Security "max-age=15768000";
location / {
root /var/www/html;
}
location /api {
proxy_pass http://localhost;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# 配置位置如下
proxy_cookie_path / "/; httponly; secure; SameSite=None";
}
}
set $uid "";
if ( $http_cookie ~* "uid=(\S+)(;.*|$)"){
set $uid $1;
}
#charset koi8-r;
if ( $time_iso8601 ~ "(\d{4})-(\d{2})-(\d{2})") {
set $time $1$2$3;
}
server {
listen 443 ssl http2;
server_name www.demo.com;
# add_header X-XSS-Protection "1; mode=block";
# add_header X-Frame-Options SAMEORIGIN;
add_header Strict-Transport-Security "max-age=15768000";
location / {
root /var/www/html;
}
location /api {
proxy_pass http://localhost;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# 配置位置如下
proxy_cookie_path / "/; httponly; secure; SameSite=None";
}
}
set $uid "";
if ( $http_cookie ~* "uid=(\S+)(;.*|$)"){
set $uid $1;
}
#charset koi8-r;
if ( $time_iso8601 ~ "(\d{4})-(\d{2})-(\d{2})") {
set $time $1$2$3;
}