작업실

Nginx set-cookie secure httponly flag 세팅하기

컨텐츠 정보

본문

 

 

1. httpsecurityreport

 

https://httpsecurityreport.com

 

위 사이트에서 Http 보안 리포트 점수를 보고 있는데 

 

Cookie 쪽을 만족시키는 방법을 찾기 어려웠습니다.

 

 

2. PHP 셋팅 수정하기

 

http://serverfault.com/a/590093

 

위 링크에 있듯이 php.ini에서 

 

session.cookie_httponly 와 session.cookie_secure 항목에

 

값을 1을 줍니다.

 

 

3. Nginx 모듈 추가하기

 

방법은 의외로 Nginx 모듈에 있었습니다.

 

바로 headers-more-nginx-module 입니다.

 

흔히 서버 네임을 바꾸는 모듈로 쓰이는데, 쿠키 관련해서도 

 

쓸만한 도구를 제공해주더라구요.

 

https://github.com/openresty/headers-more-nginx-module

 

모듈은 위 링크에 있으며

 

Nginx 컴파일 설치할 때

 

--add-module=/path/to/headers-more-nginx-module

위와 같이 모듈을 추가해주시면 됩니다.

 

 

1) 서버 네임 바꾸기

 

서버 네임을 바꾸려면 nginx.conf http{  아래에

 

server_tokens off;

more_set_headers "Server: 원하는서버이름";

위와 같은 형식으로 넣어주면 됩니다. 

 

서버 네임이 바뀌었기 때문에 심지어 Nginx 라는 글자도 안보입니다.

 

 

 

2) 쿠키 쪽 보안 설정해주기

 

마찬가지로 nginx.conf http{  아래에

 

more_set_headers 'Set-Cookie: $sent_http_set_cookie';

위와 같이 넣어줍니다. 그러면 추가로 나타나는 쿠키가 안보이게 됩니다. 

 

약간 꼼수 같은 느낌이죠.

 

http://unix.stackexchange.com/a/307479

 

여기 보시면 완벽한 방법은 아니라고 합니다.

 

 

하지만 모듈만 추가하면 매우 편하게 가릴 수 있기 때문에 쓸만한 듯 합니다.

 

 

 

4. 단점

 

그누보드는 상관없지만 워드프레스의 경우 이것을 적용하면 로그인이 안됩니다.

 

워드프레스 쓰시는 분은 어짜피 이거 없어도 WP supercache 쓰면 이보다 더 좋은 결과가 나오므로 패스하시길 바랍니다.

관련자료

  • 서명
    우성짱의 NAS를 운영하고 있습니다.

    저의 즐거움이 여러분의 즐거움이면 좋겠습니다.

댓글 0
등록된 댓글이 없습니다.
전체 157 / 1 페이지
RSS

최근글


새댓글


알림 0