我正在使用位于反向代理服务器 (Nginx) 后面的 Rails 应用程序,我需要将 Rails 应用程序的 session cookie 标记为安全。但是,当我像下面这样设置时,
Application.config.session_store :cookie_store, :key => '_app_session', :secure => true
Rails 停止发送 _app_session cookie。
我知道 Rails 阻止了它,因为我直接使用 curl -v 访问 Rails,当我省略 :secure 时我可以看到 。 _app_session cookie => 真
如何强制 Rails 通过 HTTP 连接发送安全 cookie?
注意:在此特定情况下,可以通过 HTTP 发送安全 cookie。这种流量发生在一个被认为安全的区域,然后被 SSL 包裹并发送到世界各地。此外,“terminating SSL upstream is quite common ”,所以我不是第一个有这样设置的人。
替代方案(行不通的)
这是我已经尝试过的:
我在 Lua 中编写了一个脚本,将 Secure 添加到 cookie。它奏效了,但我的老板说我们不能在 Nginx 中使用 Lua。
我不知道如何在 Nginx 中使用以下指令来实现我想要的:
- $http_header
- proxy_set_header
- more_set_headers
- $cookie_COOKIE
我尝试按照建议添加 set_proxy_header 和 add_header here ,但它没有用,我怀疑我们的设置有一些特殊之处可能导致了这种情况。
最后,假设我可以为 Nginx 编写一个 C 模块,但我不会那样做。
最佳答案
我将以下内容添加到我的 Nginx conf 文件中的相关 location block 中:
proxy_set_header X-Forwarded-Proto https;
它之前没有用,因为我在问题中的链接建议下使用了 X-Forwarded-Proto $scheme 。我不知道为什么那行不通,但是正在做
$ curl -v -H "X-Forwarded-Proto: https"http://localhost:95/app-path
返回预期的 _app_session cookie,并设置了 Secure 标志,因此显然 RoR 只需要知道安全 cookie 最终将通过 https 发送。
更新(2015 年 6 月)
我遇到这个问题的原因是因为我们的服务器是代理传递 http 请求给自己的 https 而不是设置 X-Forwarded-Proto 首先。一旦我更好地理解了我们的拓扑结构,我就能够在第一次代理传递之前执行 X-Forwarded-Proto $scheme。这是正确的解决方案。
关于ruby-on-rails - 如何使用 Rails 通过 HTTP 强制安全 cookie,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29246512/