Https

在平衡器上完成 https 時的安全 cookie,但 balancer->appserver 是 http

  • April 1, 2013

我們正在努力維護我們的應用程序的 PCI 合規性,經過審核,報告告訴我們需要secure在 cookie 上設置標誌。該站點是位於 haproxy 前面的 HTTPS(使用 pound 表示 https 終止),它服務於許多支持的應用伺服器,如下所示:

CLIENT ->(https)-> [Pound]->[HAProxy] ->(http)-> { app001 | app002 | appNNN }

我已經做了一些研究(Google搜尋),但還沒有找到任何明確的資訊,但是應用伺服器在它和平衡器之間通過 http 設置安全 cookie 會有任何問題嗎?它會通過嗎?通過 https 發送給客戶端?

我們的暫存環境沒有以與生產相同的方式設置 SSL,所以我無法對此進行測試,但我正在嘗試制定一個行動計劃,看看在我們嘗試之前是否有任何我遺漏的東西繼續前進。

無論與源伺服器的連接是否安全,您都可以在 cookie 上設置安全標誌。客戶端解釋此標誌,如果連接不安全,則不會實際設置 cookie。

根據 RFC 6265:

當 cookie 具有 Secure 屬性時,只有當請求通過安全通道(通常是 HTTP over Transport Layer Security (TLS))傳輸時,使用者代理才會將 cookie 包含在 HTTP 請求中 $$ RFC2818 $$).

有關此標誌如何工作的更多資訊(以及一般的 cookie),請參閱RFC 6265 。

引用自:https://serverfault.com/questions/495241