安全代理背后的一切都安全吗?
Is everything behind a secure proxy secure?
查看 HTTP State Management Mechanism Spec specifically 4.1.2.5 后,其中提到:
The Secure attribute limits the scope of the cookie to "secure"
channels (where "secure" is defined by the user agent). When a
cookie has the Secure attribute, the user agent will include the
cookie in an HTTP request only if the request is transmitted over a
secure channel (typically HTTP over Transport Layer Security (TLS)
我想知道我的设置是否正确。我有一个 hapijs 服务器和一个位于它后面的 nginx 代理服务器。 nginx 服务器配置为 HTTPS(我可以通过 https://... 访问它,无论如何)。现在有一些方法可以向 hapijs 服务器提供证书以提供 TLS。我的问题是:这有必要吗?用户的浏览器和我的服务器之间的连接受到 TLS 保护,然后所有通信都在不通过网络发送任何内容的情况下发生,所以我认为它没问题。
我在这里可能偏离了基地,所以如果我偏离了基地,也许有人可以指出正确的方向。
cookie 的 "secure" 属性由客户端(网络浏览器)处理,而不是由任何代理服务器处理(至少我知道!)。
因此,只要浏览器连接到的端点是安全的,就应该没问题。
这是一种非常常见的设置,仅在端点保护流量 - 前提是您对端点和最终目的地(例如同一台机器或内部网络)之间 link 的安全性感到满意。
当然,内部网络流量可以被现场人员(例如员工)嗅探,因此从安全角度来看,始终使用 https 是最好的,但是从端点到最终目的地使用 http 不应阻止 "secure" 根据我的经验发送的 cookie。
如果使用外部网络作为第一个服务器(例如 CDN),那么强烈建议使用 https 一直到安全端点,尽管它们不会被停止。
查看 HTTP State Management Mechanism Spec specifically 4.1.2.5 后,其中提到:
The Secure attribute limits the scope of the cookie to "secure" channels (where "secure" is defined by the user agent). When a cookie has the Secure attribute, the user agent will include the cookie in an HTTP request only if the request is transmitted over a secure channel (typically HTTP over Transport Layer Security (TLS)
我想知道我的设置是否正确。我有一个 hapijs 服务器和一个位于它后面的 nginx 代理服务器。 nginx 服务器配置为 HTTPS(我可以通过 https://... 访问它,无论如何)。现在有一些方法可以向 hapijs 服务器提供证书以提供 TLS。我的问题是:这有必要吗?用户的浏览器和我的服务器之间的连接受到 TLS 保护,然后所有通信都在不通过网络发送任何内容的情况下发生,所以我认为它没问题。
我在这里可能偏离了基地,所以如果我偏离了基地,也许有人可以指出正确的方向。
cookie 的 "secure" 属性由客户端(网络浏览器)处理,而不是由任何代理服务器处理(至少我知道!)。
因此,只要浏览器连接到的端点是安全的,就应该没问题。
这是一种非常常见的设置,仅在端点保护流量 - 前提是您对端点和最终目的地(例如同一台机器或内部网络)之间 link 的安全性感到满意。
当然,内部网络流量可以被现场人员(例如员工)嗅探,因此从安全角度来看,始终使用 https 是最好的,但是从端点到最终目的地使用 http 不应阻止 "secure" 根据我的经验发送的 cookie。
如果使用外部网络作为第一个服务器(例如 CDN),那么强烈建议使用 https 一直到安全端点,尽管它们不会被停止。