Tutorial Nginx - Habilitar os cabeçalhos HTTPONLY e SECURE

Gostaria de aprender como ativar as flags HTTPONLY e SECURE no servidor Nginx? Neste tutorial, vamos mostrar como proteger os cookies do seu site adicionando os cabeçalhos HTTPONLY e SECURE no servidor Nginx.

• Ubuntu 18
• Ubuntu 19
• Ubuntu 20
• Nginx 1.18.0

Em nosso exemplo, o servidor Nginx está hospedando o site WWW.GAMEKING.TIPS.

Lista de equipamentos

A seção a seguir apresenta a lista de equipamentos usados para criar este tutorial.

Como associado da Amazon, eu ganho comissão por compras qualificadas.

Nginx – Tutorial relacionado:

Nesta página, oferecemos acesso rápido a uma lista de tutoriais relacionados ao Nginx.

Tutorial Nginx – Habilitar os cabeçalhos HTTPONLY e SECURE

Instale o servidor Nginx.

Copy to Clipboard

Instale os pacotes necessários.

Copy to Clipboard

Baixe a versão mais recente do módulo Nginx chamado NGINX_COOKIE_FLAG_MODULE.

Copy to Clipboard

Verifique a versão do Nginx instalada no sistema.

Copy to Clipboard

Aqui está a saída de comando.

Copy to Clipboard

Baixe o código-fonte da mesma versão do Nginx instalado em seu sistema.

Copy to Clipboard

Compile e instalar o módulo Nginx.

Copy to Clipboard

Edite o arquivo de configuração do Nginx.

Copy to Clipboard

Adicione a seguinte linha no arquivo de configuração do Nginx.

Copy to Clipboard

Aqui está o arquivo antes de nossa configuração.

Copy to Clipboard

Aqui está o arquivo após nossa configuração.

Copy to Clipboard

Edite o arquivo de configuração Nginx para o site.

Copy to Clipboard

Se o seu site suportar apenas HTTP,adicione as seguintes linhas ao arquivo de configuração.

Copy to Clipboard

Se o seu site suportar apenas HTTPS,adicione as seguintes linhas ao arquivo de configuração.

Copy to Clipboard

Como exemplo, aqui está nosso arquivo de configuração.

Copy to Clipboard

Reinicie o serviço Nginx.

Copy to Clipboard

A flag HTTPONLY aumenta a proteção do COOKIE, não permitindo o acesso através de scripts do lado do cliente.

A flag SECURE aumenta ainda mais a segurança, permitindo apenas solicitações de COOKIE através de uma conexão HTTPS.

Crie um arquivo PHP para testar a configuração HTTPONLY.

Copy to Clipboard

Aqui está o conteúdo do arquivo.

Copy to Clipboard

<?php
   setcookie("NAME", "BRUNO", time()+600, "/","", 0);
?>
<html>
   <body>
      <?php echo "Cookies created"?>
   <script>"use strict";function wprRemoveCPCSS(){var preload_stylesheets=document.querySelectorAll('link[data-rocket-async="style"][rel="preload"]');if(preload_stylesheets&&0<preload_stylesheets.length)for(var stylesheet_index=0;stylesheet_index<preload_stylesheets.length;stylesheet_index++){var media=preload_stylesheets[stylesheet_index].getAttribute("media")||"all";if(window.matchMedia(media).matches)return void setTimeout(wprRemoveCPCSS,200)}var elem=document.getElementById("rocket-critical-css");elem&&"remove"in elem&&elem.remove()}window.addEventListener?window.addEventListener("load",wprRemoveCPCSS):window.attachEvent&&window.attachEvent("onload",wprRemoveCPCSS);</script><noscript><link data-minify="1" rel='stylesheet' id='wpml-blocks-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/cache/min/1/wp-content/plugins/sitepress-multilingual-cms/dist/css/blocks/styles.css?ver=1732401504' type='text/css' media='all' /><link rel='stylesheet' id='wpml-menu-item-0-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/sitepress-multilingual-cms/templates/language-switchers/menu-item/style.min.css?ver=1' type='text/css' media='all' /><link rel='stylesheet' id='fusion-core-comment-form-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/fusion-core/css/comment-form.min.css?ver=5.11.11' type='text/css' media='all' /><link rel='stylesheet' id='fusion-core-privacy-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/plugins/fusion-core/css/privacy.min.css?ver=5.11.11' type='text/css' media='all' /><link rel='stylesheet' id='avada-stylesheet-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-content/themes/Avada/assets/css/style.min.css?ver=7.11.11' type='text/css' media='all' /><link rel='stylesheet' id='wp-codemirror-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-includes/js/codemirror/codemirror.min.css?ver=5.29.1-alpha-ee20357' type='text/css' media='all' /><link rel='stylesheet' id='code-editor-css' href='https://techexpert.tips/wp-admin/css/code-editor.min.css?ver=6.7.1' type='text/css' media='all' /><link rel='stylesheet' id='wp-block-library-css' href='https://d1ny9casiyy5u5.cloudfront.net/wp-includes/css/dist/block-library/style.min.css?ver=6.7.1' type='text/css' media='all' /></noscript></body>
</html>

Este teste requer que o servidor Nginx suporte PHP.

A partir de um computador Linux remoto, tente acessar esta página.

Copy to Clipboard

Aqui está a saída de comando com a flag HTTPONLY habilitada.

Copy to Clipboard

Aqui está a saída de comando com as flags HTTPONLY e SECURE habilitadas.

Copy to Clipboard

Parabéns! Você é capaz de habilitar as flags HTTPONLY e SECURE no servidor Nginx.

Nginx – Habilitar os cabeçalhos HTTPONLY e SECURE

Nginx – Habilitar os cabeçalhos HTTPONLY e SECURE

Lista de equipamentos

Nginx – Tutorial relacionado:

Tutorial Nginx – Habilitar os cabeçalhos HTTPONLY e SECURE

Related Posts