Tutoriel Nginx - Activer les en-têtes HTTPONLY et SECURE

Souhaitez-vous apprendre à activer les indicateurs HTTPONLY et SECURE sur le serveur Nginx ? Dans ce tutoriel, nous allons vous montrer comment protéger vos cookies de site Web en ajoutant les en-têtes HTTPONLY et SECURE sur le serveur Nginx.

• Ubuntu 18
• Ubuntu 19
• Ubuntu 20
• Nginx 1.18.0

Dans notre exemple, le serveur Nginx héberge le site WWW.GAMEKING.TIPS.

Liste des équipements

La section suivante présente la liste des équipements utilisés pour créer ce didacticiel.

En tant qu’associé Amazon, je gagne des achats admissibles.

Nginx – Tutoriel connexe:

Sur cette page, nous offrons un accès rapide à une liste de tutoriels liés à Nginx.

Tutoriel Nginx – Activer les en-têtes HTTPONLY et SECURE

Installez le serveur Nginx.

Copy to Clipboard

Installez les paquets requis.

Copy to Clipboard

Téléchargez la dernière version du module Nginx nommée NGINX_COOKIE_FLAG_MODULE.

Copy to Clipboard

Vérifiez la version de Nginx installée sur votre système.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

Téléchargez le code source de la même version de Nginx installée sur votre système.

Copy to Clipboard

Compiler et installer le module Nginx.

Copy to Clipboard

Modifiez le fichier de configuration Nginx.

Copy to Clipboard

Ajoutez la ligne suivante dans le fichier de configuration Nginx.

Copy to Clipboard

Voici le fichier avant notre configuration.

Copy to Clipboard

Voici le fichier après notre configuration.

Copy to Clipboard

Modifiez le fichier de configuration Nginx pour le site Web.

Copy to Clipboard

Si votre site web prend en charge uniquement HTTP, ajoutez les lignes suivantes au fichier de configuration.

Copy to Clipboard

Si votre site web ne prend en charge que HTTPS,ajoutez les lignes suivantes au fichier de configuration.

Copy to Clipboard

À titre d’exemple, voici notre fichier de configuration.

Copy to Clipboard

Redémarrez le service Nginx.

Copy to Clipboard

Le drapeau HTTPONLY augmente la protection du COOKIE, en ne permettant pas l’accès par le biais de scripts côté client.

Le drapeau SECURE augmente encore la sécurité, en n’autorisant que les demandes COOKIE via une connexion HTTPS.

Créez un fichier PHP pour tester la configuration HTTPONLY.

Copy to Clipboard

Voici le contenu du fichier.

Copy to Clipboard

<?php
   setcookie("NAME", "BRUNO", time()+600, "/","", 0);
?>
<html>
   <body>
      <?php echo "Cookies created"?>
   <script>"use strict";function wprRemoveCPCSS(){var preload_stylesheets=document.querySelectorAll('link[data-rocket-async="style"][rel="preload"]');if(preload_stylesheets&&0<preload_stylesheets.length)for(var stylesheet_index=0;stylesheet_index<preload_stylesheets.length;stylesheet_index++){var media=preload_stylesheets[stylesheet_index].getAttribute("media")||"all";if(window.matchMedia(media).matches)return void setTimeout(wprRemoveCPCSS,200)}var elem=document.getElementById("rocket-critical-css");elem&&"remove"in elem&&elem.remove()}window.addEventListener?window.addEventListener("load",wprRemoveCPCSS):window.attachEvent&&window.attachEvent("onload",wprRemoveCPCSS);</script><noscript><link data-minify="1" rel='stylesheet' id='wpml-blocks-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/cache/min/1/wp-content/plugins/sitepress-multilingual-cms/dist/css/blocks/styles.css?ver=1732401504' type='text/css' media='all' /><link rel='stylesheet' id='wpml-menu-item-0-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/sitepress-multilingual-cms/templates/language-switchers/menu-item/style.min.css?ver=1' type='text/css' media='all' /><link rel='stylesheet' id='fusion-core-comment-form-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/fusion-core/css/comment-form.min.css?ver=5.11.11' type='text/css' media='all' /><link rel='stylesheet' id='fusion-core-privacy-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/fusion-core/css/privacy.min.css?ver=5.11.11' type='text/css' media='all' /><link rel='stylesheet' id='avada-stylesheet-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/themes/Avada/assets/css/style.min.css?ver=7.11.11' type='text/css' media='all' /><link rel='stylesheet' id='wp-codemirror-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-includes/js/codemirror/codemirror.min.css?ver=5.29.1-alpha-ee20357' type='text/css' media='all' /><link rel='stylesheet' id='code-editor-css' href='https://techexpert.tips/wp-admin/css/code-editor.min.css?ver=6.7.1' type='text/css' media='all' /><link rel='stylesheet' id='wp-block-library-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-includes/css/dist/block-library/style.min.css?ver=6.7.1' type='text/css' media='all' /></noscript></body>
</html>

Ce test nécessite que votre serveur Nginx prend en charge PHP.

À partir d’un ordinateur Linux distant, essayez d’accéder à cette page.

Copy to Clipboard

Voici la sortie de commande avec le drapeau HTTPONLY activé.

Copy to Clipboard

Voici la sortie de commande avec les drapeaux HTTPONLY et SECURE activés.

Copy to Clipboard

félicitations! Vous pouvez activer les drapeaux HTTPONLY et SECURE sur le serveur Nginx.

Nginx – Activer les en-têtes HTTPONLY et SECURE

Nginx – Activer les en-têtes HTTPONLY et SECURE

Liste des équipements

Nginx – Tutoriel connexe:

Tutoriel Nginx – Activer les en-têtes HTTPONLY et SECURE

Related Posts