指令参考

testcookie_httponly_flag

testcookie_httponly_flag 指令为 NGINX testcookie 模块设置的 cookies 配置 HttpOnly 标志,以增强对客户端攻击的防护。

NGINX testcookie robot mitigation module · httpserverlocation
语法testcookie_httponly_flag on | off;
默认值off
上下文http, server, location
参数1

说明

testcookie_httponly_flag 指令在 NGINX testcookie robot mitigation module 中使用,用于指定是否应将 cookies 标记为 HttpOnly。当该标志启用时,模块设置的 cookies 无法被诸如 JavaScript 之类的客户端脚本访问,从而降低了跨站脚本 (XSS) 漏洞的风险。该指令接受一个参数,用于指定是否应应用 HttpOnly 属性。

配置后,该指令在增强 testcookie module 的 cookie 处理机制的安全性方面起着关键作用。这在对用户数据安全性要求较高的环境中尤为重要。通过将 cookies 标记为 HttpOnly,可以确保在浏览器中运行的恶意脚本无法读取会话 cookies,从而减轻会话劫持攻击的风险。该指令的应用具有上下文敏感性;它可以在 httpserverlocation 块中使用,从而对应用不同部分中 cookies 的行为提供细粒度控制。

要实现 testcookie_httponly_flag,只需以所需参数 (on 或 off) 指定该指令。该指令的行为直接影响 NGINX 配置的安全态势,是关注保护用户会话和 cookie 中存储的敏感数据的 Web 管理员的重要工具。

配置示例

server {
    listen 80;
    server_name example.com;

    testcookie on;
    testcookie_httponly_flag on;
    testcookie_session $remote_addr;
}

在应用 HttpOnly 标志时要小心,因为它可能会干扰需要访问 cookie 值的合法客户端脚本。

确保该指令在正确的上下文 (http, server, or location) 中设置以实现预期效果。放置不当可能导致非预期的行为。

相关指令

testcookietestcookie_nametestcookie_samesitetestcookie_expires
← 返回所有指令