使用ModSecurity和阿帕奇和OWASP 控制参考标准有一些规则使用 apache 特定的指令,如(在 modsecurity_crs_55_application_defects.conf 文件中):
Header edit Set-Cookie "^((?i:(_?(COOKIE|TOKEN)|atlassian.xsrf.token|[aj]?sessionid|(php)?sessid|(asp|jserv|jw)?session[-_]?(id)?|cf(id|token)|sid))=(?i:(?!httponly).)+)$" "$1; HttpOnly"
和
Header edit Set-Cookie "^((?i:(_?(COOKIE|TOKEN)|atlassian.xsrf.token|[aj]?sessionid|(php)?sessid|(asp|jserv|jw)?session[-_]?(id)?|cf(id|token)|sid))=(?i:(?!secure).)+)$" "$1; secure" env=secure_site
使用时Nginxnginx 而不是 Apache 对这些指令提出抱怨。
Nginx 的等效规则有哪些?