問題
-
アプリケーションのセキュリティスキャンを実施してもらっています。 なお、一部のCookieには、HTTPOnly、Secure、SameSiteの属性がありません。 これらの属性をNGINXに適用するにはどうすればいいのでしょうか?
Environment
- Liferay DXP 7.4、LXC-SM 4.x
解決策
/webserver/configs/{env}/conf.dフォルダに ssl.conf ファイルを作成します。-
proxy_cookie_path / "/; HTTPOnly; Secure; SameSite=strict";を ssl.conf ファイルに追加します。 (注)ここでは、「strict」を例にしています。 使用用途に応じて適切な値を設定してください)。 - ビルドを自分の環境にデプロイする
- クッキーを確認する
- LFR_SESSION_STATE に HTTPOnly のフラグが立っていない。 その理由は、 この の記事で説明しています。 7.4の関連コードは、 こちら。
- LFR_SESSION_STATEにはSameSiteのフラグも立っていません。 これはJSクッキーなので、このフラグはLiferayのコードでのみ設定できます。 ロードマップに実装するための機能リクエスト LPS-133584 を用意しています。
追加情報
会員限定記事
Liferay エンタープライズ サブスクリプションをお持ちのお客様は1500件を超えるベストプラクティス、トラブルシューティング、その他のソリューション記事を閲覧できます。ログインすると、記事全体をお読みいただけます。
ログイン