在nginx反向代理中,如何设置cookie的安全标志?

我使用nginx作为反向代理服务于仅限https的站点。 所以我想这个网站的cookies被标记为安全的。 但后端服务器是一个http,所以它不会将安全标志设置为它的cookie。 如何修改Set-Cookie头以响应添加安全标志?

你可能可以让你的nginx代理修改由后端创build的cookie并设置安全标志 – 请参阅如何在nginx反向代理中重写Set-Cookie的域部分? 。

不过,我会想象得到在后端创buildcookie来设置安全标志将是一个更好的解决scheme。 你怎么做是另一个故事(或问题:)。

我使用下面的nginxconfiguration代码:

 # make cookie secure (case sensitive) proxy_cookie_domain ~(?P<secure_domain>([-0-9a-z]+\.)?[-0-9a-z]+\.[az]+)$ "$secure_domain; secure"; 

而不是正则expression式来使这个dynamic,你当然可以使用FQDN。