ho eseguito un test di penetrazione sulla mia istanza. Il risultato ha indicato un rischio dovuto a un cookie non sicuro che potrebbe essere dirottato tramite un attacco XSS. Vorrei mitigare questo rischio aggiungendo una riga di codice alla configurazione di nginx, ma non riesco a trovarla poiché sto utilizzando l’installazione Docker.
C’è qualcuno che può darmi un indizio su dove trovare la configurazione di nginx? In /etc/nginx/site-available non è presente alcuna configurazione di Discourse utilizzata da nginx.
Puoi condividere il risultato completo del test di penetrazione?
Credo che tu lo stia eseguendo in modo errato o che tu stia interpretando male il rapporto, poiché entrambi i cookie di Discourse hanno il flag secure:
Si tratta solo del cookie destination_url, utilizzato esclusivamente durante il flusso di accesso per memorizzare la destinazione che l’utente intendeva raggiungere, così da poterlo reindirizzare lì dopo il login. Dato che viene letto dall’app EmberJS per il routing, non può contenere il flag HTTP_ONLY.
