Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性的属性的 Cookie和跨站点哀求伪造@TOC
具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性的属性的 Cookie
配置sameSite值即可
办理方法:
- add_header Set-Cookie "httponly; secure;SameSite=Lax";
- 或
- proxy_cookie_path / "/; httponly; secure; SameSite=Lax";
- 或
- proxy_cookie_flags ~ nosecure samesite=strict; (nginx版本在1.19.3以上)
注:samesite属性值
Strict 只答应同站(同源肯定同站,同站不肯定同源)哀求携带 Cookie。
Lax答应部分第三方哀求场景 携带Cookie。
None 无论是否跨站都会发送 Cookie。必须同时加上 Secure 属性,否则无效,也就是说只支持 HTTPS。
跨站点哀求伪造
办理方法:校验referer
- // 拦截非法referer
- valid_referers none blocked server_names 127.0.0.1 www.baidu.com;
- if ($invalid_referer) {
- return 403 ;
- }
|
