Я провел тестирование на проникновение моего экземпляра. Оно показало риск из-за незащищенного куки-файла, который может быть перехвачен при атаке XSS. Я хотел бы устранить этот риск, добавив строку кода в конфигурацию nginx. Однако я не могу найти её, так как использую установку через Docker.
Есть ли кто-нибудь, кто сможет подсказать, где найти конфигурацию nginx? В /etc/nginx/site-available нет конфигурации Discourse, используемой nginx.
Это просто cookie-файл destination_url, который используется исключительно в процессе входа для сохранения адреса, куда пользователь хотел попасть, чтобы мы могли перенаправить его туда после авторизации. Поскольку это значение считывается в приложении EmberJS для маршрутизации, оно не может содержать флаг HTTP_ONLY.
