secure_token_avoid_cookies

Директива secure_token_avoid_cookies — это параметр конфигурации, доступный в модуле Secure Token для NGINX, который позволяет указывать, использовать ли токены в строке запроса или токены в cookie для защиты доступа к ресурсам. При установке значения on директива инструктирует NGINX генерировать токены в строке запроса URL вместо встраивания их в cookie, что облегчает сценарии, где cookie могут быть неуместны, например в некоторых конфигурациях CDN или при наличии междоменных проблем.

Директива может использоваться в различных контекстах, включая http, server и location, что позволяет осуществлять тонкий контроль стратегии токенизации в конфигурации веб-сервера. По умолчанию значение установлено в on, то есть токены будут генерироваться как строки запроса, если не указано иначе. Когда обслуживаемый контент имеет определённые MIME-типы, такие как application/vnd.apple.mpegurl, application/dash+xml и video/f4m, NGINX будет учитывать эту настройку и предпочитать токены в строке запроса для защиты доступа к этим медиа-типам, улучшая совместимость с некоторыми клиентами и конфигурациями.

Важно отметить, что отклонение от поведения по умолчанию (например, установка директивы в off) может негативно повлиять на клиентов, которые полагаются на токены в URL для доступа, что приведёт к потенциальным проблемам с доступом, особенно в сценариях CDN, где для верификации и авторизации ресурсов требуются токены безопасности.