مرحبًا يا أصدقاء
أجريت اختبار اختراق لنسختي. أشار الاختبار إلى وجود خطر بسبب كوكيز غير آمنة قد يتم اختطافها عبر هجوم XSS. أود منع هذا الخطر بإضافة سطر من الكود إلى إعدادات nginx. لكنني لا أستطيع العثور عليه لأنني أستخدم التثبيت عبر Docker.
هل هناك من يمكنه إرشادي إلى مكان العثور على إعدادات nginx؟ في /etc/nginx/site-available لا توجد إعدادات discourse مستخدمة من قبل nginx.
أي تلميح يُقدر.
مع خالص التحية
//neph
هل يمكنك مشاركة النتيجة الكاملة لاختبار الاختراق؟
أعتقد أنك إما تقوم بتشغيله بشكل غير صحيح أو تقرأ التقرير بشكل خاطئ، حيث أن كلا من كوكيز Discourse يحتويان على علامة الأمان:
هذه مجرد ملفات تعريف ارتباط destination_url، تُستخدم فقط أثناء عملية تسجيل الدخول لتخزين المكان الذي أراد المستخدم الذهاب إليه، حتى نتمكن من توجيهه إليه بعد تسجيل الدخول. وبما أنها تُقرأ في تطبيق EmberJS لأغراض التوجيه، فلا يمكن أن تحتوي على علم HTTP_ONLY.
يمكنك معرفة المزيد حول جميع ملفات تعريف الارتباط المستخدمة في Discourse من خلال الرابط التالي: (Deprecated) List of cookies used by Discourse
