Mozilla vient de publier un nouvel outil pour vérifier la configuration de votre site Web. observatory.mozilla.org
Mais l'analyse se plaint des cookies (-10 points): cookie de session défini sans l'indicateur Secure ...
Malheureusement, le service exécuté derrière mon nginx ne peut définir l'en-tête sécurisé que si SSL se termine directement là-bas et non lorsque SSL se termine sur le nginx. Ainsi, le drapeau "Secure" n'est pas défini sur les cookies.
Est-il possible d'ajouter le drapeau "sécurisé" aux cookies en utilisant en quelque sorte nginx? Il semble possible de modifier l'emplacement / le chemin.
http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cookie_domain
http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cookie_path
la source
Essayez d'utiliser nginx_cookie_flag_module . Cela résoudra votre problème.
Avertissement: je suis l'auteur du module.
la source