Articles of 会话cookies

Django不会为csrftoken cookie设置HttpOnly

在我Django的settings.py中有 SESSION_COOKIE_HTTPONLY = True SECURE_CONTENT_TYPE_NOSNIFF = True SECURE_BROWSER_XSS_FILTER = True X_FRAME_OPTIONS = 'DENY' SESSION_COOKIE_SECURE = True CSRF_COOKIE_SECURE = True SECURE_SSL_REDIRECT = True SECURE_HSTS_SECONDS = 15768000 SECURE_HSTS_INCLUDE_SUBDOMAINS = True SECURE_HSTS_PRELOAD = True SESSION_COOKIE_AGE = 2 * 24 * 3600 但是https://detectify.com发现这个标志没有设置为csrftoken cookie。 我检查了Chrome告诉我的cookie,如果我理解正确,那么空的HTTP列确认这两个cookie不仅仅是HTTP: 另外,如果我在chrome的控制台中执行document.cookie ,则会显示csrftoken值。 我想知道为什么会这样。 我有Django在uwsgi和nginx上运行。 nginxconfiguration如下,有问题的网站是https://rodichi.net : server { listen 443 ssl http2 default_server; server_name […]

为Woocommerce cookie添加安全属性

我试图让我们的服务器PCI兼容,并设置Woocommerce cookie的最后一个问题,以确保安全。 我正在运行Wordpress / Woocommerce的所有当前版本,并且服务器在整个站点上运行100%SSL / HTTPS。 我想要保护的cookies: woocommerce_recently_viewed 我已经尝试了以下没有运气: 添加到我的函数文件中: add_filter( 'wc_session_use_secure_cookie', '__return_true' ); 添加到index.php中: @ini_set('session.cookie_httponly', 'On'); @ini_set('session.cookie_secure', 'On'); @ini_set('session.use_only_cookies', 'On'); 添加到php.ini中: session.cookie_httponly = 1 session.cookie_secure = 1 session.use_only_cookies = 1 我最后的手段是调整服务器configuration(我正在运行的Nginx),但宁愿处理这个问题的应用程序级别。 任何有关这个问题的帮助将不胜感激。

Magento与Nginx和光油 – 302的,cookies和redirect?

我正在testing清漆,以增加与Magento的加载时间,到目前为止caching已经很棒了。 我可以为index.php提供32-35页/秒的速度,而在目录页面上,最大速度为1200 /秒。 不过,我遇到了一个我真的很苦恼的问题。 我一直试图解决这个问题好几天了。 将产品添加到购物车时,将redirect到主页,然后显示“商品XXX已添加到购物车”。 我可以看到Varnish让302返回到我添加了该项目的页面,但它总是反弹回主页。 添加产品进行比较时存在同样的问题,但是这绝不会添加到要比较的项目列表中。 你可以在这里看到这个网站: http : //test.autoracks.com 这是我的default.vcl: # default backend definition. Set this to point to your content server. backend default { .host = "127.0.0.1"; .port = "8080"; } # admin backend with longer timeout values. Set this to the same IP & port as your default server. backend […]

奇怪的疯狂login问题 – 可能Cookie,浏览器,NGINX相关

我们目前有一个非常奇怪的问题,正在运行在NGINX上的Spree安装。 用户正在报告恢复密码的问题,并且一旦恢复,就有login网站的问题。 我们还没有能够重现这个错误,但是知道这肯定是由于我们收到的用户的所有报告。 也不是用户能够login时,他们尝试不同的浏览器。 如果第一次尝试是在Firefox,然后他们尝试Chrome浏览器将最终在一个很好的情况下工作。 来自用户的电子邮件: “还没有进入商店,我已经两次更改密码,什么时候什么都没有发生,只是刷新页面,我留下了一个空白的电子邮件和密码。 “ NGINX错误日志中的错误: cache: [GET /login] miss cache: [POST /user/sign_in] invalidate, pass configuration: Rails 3.1,Spree 1,passenger-3.0.11,ruby 1.8.7 REE 任何和所有的答案/build议非常感谢。

HAProxyencryption/解密cookies

我们正在尝试使用HAProxy设置负载平衡器,它将为多个后端Web应用程序提供服务。 用例如下所示: 用户浏览到foo.com/app1 HAProxy认为cookie不包含会话信息,并且redirect到一个authentication网关(一个单一login页面) 身份validation网关提供一个表单,如果用户成功login,网关将redirect回HAProxy,COOKIE会存储会话详细信息 HAProxy现在看到有效会话信息存在,并使用相同的COOKIEredirect到app1-internal.foo.com(实际的Web应用程序) – Web应用程序将进一步使用该COOKIE。 我们的疑问是在第三步。 我们想要encryptionauthentication网关添加的cookie(通过AES或类似的)。 问题是,在HAProxy端,我们似乎无法弄清楚如何解密它,因为HAProxy似乎不支持解密头文件(或者甚至运行一个可以解密它的外部C / C ++程序)。 所以我们的问题是: 我们可以在HAProxy上解密AESencryption的头文件吗(注意,这不是SSL连接)? HAProxy是不是真的为这个用例devise的 – 是否有更好的工具来达到这个目的? 提前谢谢了!

如何保护/安全Cookie

我已经将nginxconfiguration为代理服务器,而我的后端是Redhat7上的tomcat8.5。 我在nginx中configuration了SSL。 我想在安全和httponly的 cookie,但我的头只显示cookie中的JSESSIONID。 我的结果: – Cookie:JSESSIONID = D442DD723352EA8354E4D。 我正在寻找下面的结果点击这里 – 图片1 我有下面的解决scheme,但是这对httpOnly不起作用。 https://geekflare.com/secure-cookie-flag-in-tomcat/

使子域读取父域会话

我正在使用Django。 我主持了xyz.com。 作为同一网站的一部分,我有abc.xyz.com 现在我想要abc.xyz.com从xyz.com读取会话信息,所以我可以对待login的用户。 我已经阅读了答案, SESSION_COOKIE_DOMAIN = ".xyz.com" 要么 SESSION_COOKIE_DOMAIN = "xyz.com" 但是他们都没有工作。 我如何解决这个问题? PS:我正在使用nginx将请求指向abc.xyz.com到xyz.com/abc

fastcgicaching如何cachinglogin的用户,并为每个用户定制

目前,我正在使用fastcgi_cache来caching非login用户,并使用(如果+ fastcgi_no_cache + fastcgi_cache_bypass)将login用户直接传递到PHP-FPM的后端。 这个工作足够好,但是当PHP-FPM开始达到500+ req / s时,缓慢/加载开始。 所以我在想的是为login用户创build一个caching,每个用户都有它自己的caching文件,这可能吗? 如果是的话,请给我提供一些关于这方面的提示。 我已经看了很多,但没有任何帮助。 运行mysql和memcached和apc的自定义php cms的网站 cat /etc/nginx/nginx.comf user username username; worker_processes 8; worker_rlimit_nofile 20480; pid /var/run/nginx.pid; events { worker_connections 10240; use epoll; } http { include mime.types; default_type application/octet-stream; log_format main '$remote_addr – $remote_user [$time_local] ' '"$request" $status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log off; error_log /var/log/nginx/error.log […]

Nginx 301redirect公司 设置cookie

我在找的是nginx能够检测到一个url有查询stringvariablescid的能力。 例如www.adomain.com/froggy?cid=12&as=false(查询string可以是单独的或与其他人混合,并且cid不一定是查询string中的第一个variables) 如果检测到cid,它必须发送一个带有variablestmp_cid的设置cookie头,并给它从cid查询stringvariables中取出的值。 然后,它还必须发送一个301redirect,以将用户发送到相同的url,但没有cid查询stringvariables,因此使用上面的示例url,它将redirect到www.adomain.com/froggy?as=假 我希望这是有道理的。

如何在没有脚本(PHP)或服务器configuration(Nginx)的情况下检测移动设备(和/或移动cookie)?

我们即将推出我们网站的移动版本。 我们的完整网站和手机网站只是主题不同,即url相同,只是前端不同。 当用户访问我们的网站时,我们需要能够做到以下几点: 1.检查一个cookie(mobile == true或false),以确定是否已经定义了完整与移动设备的首选项(用户手动或通过检测我们的结束)。 2.如果未设置移动cookie,则在第一个页面视图中检测用户设备,并将移动cookie设置为true或false。 根据#1和/或#2的结果,为您提供适当的全面或移动体验。 最初我使用PHP来检测工作正常的设备。 但是,我们的网站在主页上使用了极其完整的HTMLcaching,其他一些页面(.html文件被写入我们网站根目录的文件夹中,如果Nginxfind它们,而不是通过PHP发送请求, 15分钟),所以我不能依靠PHP来检测我们的主要用户input点的移动设备(据我所知在这一点上…)。 不能依靠PHP,然后我把移动cookie检查和设备检测到Nginx的configuration文件(本地Apache为我开发,由我们的服务器人为Nginx翻译)。 然而,我们的服务器pipe理人员又回到我们这里,说新的Nginxconfiguration文件的性能将会很大(我们的办公室里“性能影响”是一个4个字母的单词)。 基本上我被告知完整的主页的HTMLcaching必须保持原样,并且我根本不能更改Nginxconfiguration文件。 有没有另外一种方法来检测cookie,可以利用上面的限制?