Nginx set-cookie secure httponly flag 세팅하기

1. httpsecurityreport

https://httpsecurityreport.com

위 사이트에서 Http 보안 리포트 점수를 보고 있는데 

Cookie 쪽을 만족시키는 방법을 찾기 어려웠습니다.

2. PHP 셋팅 수정하기

http://serverfault.com/a/590093

위 링크에 있듯이 php.ini에서 

session.cookie_httponly 와 session.cookie_secure 항목에

값을 1을 줍니다.

3. Nginx 모듈 추가하기

방법은 의외로 Nginx 모듈에 있었습니다.

바로 headers-more-nginx-module 입니다.

흔히 서버 네임을 바꾸는 모듈로 쓰이는데, 쿠키 관련해서도 

쓸만한 도구를 제공해주더라구요.

https://github.com/openresty/headers-more-nginx-module

모듈은 위 링크에 있으며

Nginx 컴파일 설치할 때

--add-module=/path/to/headers-more-nginx-module

위와 같이 모듈을 추가해주시면 됩니다.

1) 서버 네임 바꾸기

서버 네임을 바꾸려면 nginx.conf http{  아래에

server_tokens off;

more_set_headers "Server: 원하는서버이름";

위와 같은 형식으로 넣어주면 됩니다. 

서버 네임이 바뀌었기 때문에 심지어 Nginx 라는 글자도 안보입니다.

2) 쿠키 쪽 보안 설정해주기

마찬가지로 nginx.conf http{  아래에

more_set_headers 'Set-Cookie: $sent_http_set_cookie';

위와 같이 넣어줍니다. 그러면 추가로 나타나는 쿠키가 안보이게 됩니다. 

약간 꼼수 같은 느낌이죠.

http://unix.stackexchange.com/a/307479

여기 보시면 완벽한 방법은 아니라고 합니다.

하지만 모듈만 추가하면 매우 편하게 가릴 수 있기 때문에 쓸만한 듯 합니다.

4. 단점

그누보드는 상관없지만 워드프레스의 경우 이것을 적용하면 로그인이 안됩니다.

워드프레스 쓰시는 분은 어짜피 이거 없어도 WP supercache 쓰면 이보다 더 좋은 결과가 나오므로 패스하시길 바랍니다.