大家好
我对我的实例进行了渗透测试。测试结果显示存在风险,因为不安全的 Cookie 可能被 XSS 攻击劫持。我想通过在 nginx 配置中添加一行代码来缓解这一风险。但由于我使用的是 Docker 安装,无法找到相关配置。
有没有人能提示一下在哪里可以找到 nginx 配置?在 /etc/nginx/site-available 中没有被 nginx 使用的 Discourse 配置。
任何提示都将不胜感激。
此致
//neph
能否分享渗透测试的完整结果?
我认为可能是运行方式有误,或者对报告的解读存在偏差,因为两个 Discourse Cookie 均已设置了 secure 标志:
那只是 destination_url cookie,仅在登录流程中使用,用于存储用户原本想去的地方,以便登录后将其重定向到该位置。由于该 cookie 需要在 EmberJS 应用中被读取以进行路由,因此不能设置 HTTP_ONLY 标志。
你可以在 (Deprecated) List of cookies used by Discourse 了解更多关于 Discourse 中所有 cookie 的信息。