작업실

Nginx set-cookie secure httponly flag 세팅하기

컨텐츠 정보

본문

 

 

1. httpsecurityreport

 

https://httpsecurityreport.com

 

위 사이트에서 Http 보안 리포트 점수를 보고 있는데 

 

Cookie 쪽을 만족시키는 방법을 찾기 어려웠습니다.

 

 

2. PHP 셋팅 수정하기

 

http://serverfault.com/a/590093

 

위 링크에 있듯이 php.ini에서 

 

session.cookie_httponly 와 session.cookie_secure 항목에

 

값을 1을 줍니다.

 

 

3. Nginx 모듈 추가하기

 

방법은 의외로 Nginx 모듈에 있었습니다.

 

바로 headers-more-nginx-module 입니다.

 

흔히 서버 네임을 바꾸는 모듈로 쓰이는데, 쿠키 관련해서도 

 

쓸만한 도구를 제공해주더라구요.

 

https://github.com/openresty/headers-more-nginx-module

 

모듈은 위 링크에 있으며

 

Nginx 컴파일 설치할 때

 

--add-module=/path/to/headers-more-nginx-module

위와 같이 모듈을 추가해주시면 됩니다.

 

 

1) 서버 네임 바꾸기

 

서버 네임을 바꾸려면 nginx.conf http{  아래에

 

server_tokens off;

more_set_headers "Server: 원하는서버이름";

위와 같은 형식으로 넣어주면 됩니다. 

 

서버 네임이 바뀌었기 때문에 심지어 Nginx 라는 글자도 안보입니다.

 

 

 

2) 쿠키 쪽 보안 설정해주기

 

마찬가지로 nginx.conf http{  아래에

 

more_set_headers 'Set-Cookie: $sent_http_set_cookie';

위와 같이 넣어줍니다. 그러면 추가로 나타나는 쿠키가 안보이게 됩니다. 

 

약간 꼼수 같은 느낌이죠.

 

http://unix.stackexchange.com/a/307479

 

여기 보시면 완벽한 방법은 아니라고 합니다.

 

 

하지만 모듈만 추가하면 매우 편하게 가릴 수 있기 때문에 쓸만한 듯 합니다.

 

 

 

4. 단점

 

그누보드는 상관없지만 워드프레스의 경우 이것을 적용하면 로그인이 안됩니다.

 

워드프레스 쓰시는 분은 어짜피 이거 없어도 WP supercache 쓰면 이보다 더 좋은 결과가 나오므로 패스하시길 바랍니다.

관련자료

  • 서명
    우성짱의 NAS를 운영하고 있습니다.

    저의 즐거움이 여러분의 즐거움이면 좋겠습니다.

댓글 0
등록된 댓글이 없습니다.
Total 157 / 7 Page
RSS
도메인 메일 서비스 - 다음 스마트워크 댓글 5

1. 도메인 메일 서비스 선택하기도메인 메일은 홈페이지 관리자라면 꼭 필요한 메일이라고 보시면 됩니다.예를 들어 제 홈페이지 도메인이 wsgve…

Brotli Compression 적용하기

보통 Gzip으로 압축하여 전송합니다.2015년 9월 구글은Brotli Compression 이라는 새로운 압축을 발표했는데, 기존 방법보다 2…

Nginx set-cookie secure httponly flag 세팅하기

1. httpsecurityreporthttps://httpsecurityreport.com위 사이트에서 Http 보안 리포트 점수를 보고 있는…

Nginx에서 RSA와 ECDSA 하이브리드 인증서 설정하기

0. 하이브리드 인증서 생성 이유Nginx 1.11.0 부터 인증서를 2개 설정 가능합니다. RSA, ECDSA 인증서를 모두 적용하면 오래된 …

HPKP HTTP Public Key Pinning 적용 방법 댓글 5

1. HPKP(HTTP Public Key Pinning) 의미공격자들이 인증서를 훔치거나 위조해 사용자가 자기도 모르게 악성 사이트에 접속하고…

Certificate Transparency 인증서 투명성 우분투 16.04 Nginx 인증받기

1. 인증서 투명성에 대하여Certificate Transparency 인증서 투명성 인증을 받으면1. 도메인 소유주의 허락없이 SSL 인증서…

최근글


새댓글


알림 0