Nginx Adicionar sinalizador seguro aos cookies do servidor proxy

A Mozilla acaba de lançar uma nova ferramenta para verificar a configuração do seu site. observatory.mozilla.org

Mas a verificação está reclamando de cookies (-10 pontos): cookie de sessão definido sem o sinalizador Seguro ...

Infelizmente, o serviço executado atrás do meu nginx só pode definir o cabeçalho seguro se o SSL terminar lá diretamente e não quando o SSL terminar no nginx. Portanto, o sinalizador "Seguro" não está definido nos cookies.

É possível anexar o sinalizador "seguro" aos cookies de alguma forma usando o nginx? Modificar a localização / caminho parece ser possível.

http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cookie_domain

http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cookie_path

Conheço duas maneiras de fazer isso, nenhuma delas ótima. O primeiro é abusar do proxy_cookie_path assim:

proxy_cookie_path / "/; secure";

O segundo é usar a diretiva more_set_headers do módulo Headers More como este:

more_set_headers 'Set-Cookie: $sent_http_set_cookie; secure';

Ambos podem apresentar problemas porque adicionam os itens às cegas. Por exemplo, se o upstream definir o sinalizador seguro, você acabará enviando ao cliente uma duplicata como esta:

Set-Cookie: foo=bar; secure; secure;

e, no segundo caso, se o aplicativo upstream não definir um cookie, o nginx enviará isso ao navegador:

Set-Cookie; secure;

Isso é duplo, é claro.

Eu acho que esse problema precisa ser corrigido, como muitas pessoas perguntaram sobre ele. Na minha opinião, uma diretiva é necessária, algo como isto:

proxy_cookie_set_flags * HttpOnly;
proxy_cookie_set_flags authentication secure HttpOnly;

mas, infelizmente, isso não existe atualmente :(

Tente usar nginx_cookie_flag_module . Isso resolverá seu problema.

Disclaimer: Eu sou o autor do módulo.