HTTP State Management Mechanism Specを見て取った後具体4.1.2.5それが言及ここ安全なプロキシの背後にあるものはすべて安全ですか?
セキュア属性は、(ここで、「安全な」ユーザエージェントによって定義される) チャネルを「固定」するクッキーのスコープを制限します。 クッキーがセキュアな属性を持っている場合、ユーザーエージェントは、要求が セキュアなチャネルを介して送信されている場合にのみ、HTTPリクエストに クッキーが含まれます(通常はHTTPトランスポート層セキュリティ(TLS)
以上の私がいました私のセットアップにこれが正しく設定されているかどうか疑問に思っています。hapijsサーバーとnginxプロキシサーバーがありますが、nginxサーバーはHTTPS用に構成されています(https:// ...、私の質問は:これは必要ですか?ユーザーのブラウザと私のサーバーとの間の接続はTLSで保護されています。そして、すべての通信は電線を通じて何も送信せずに行われるので、私はそれは大丈夫だろうと思うでしょう。
私はここにいるかもしれないので、もしかしたら誰かが私を正しい方向に向けることができます。
これは意味があります。つまり、HTTPSを使って話す部分ですが、その接続を安全にする方法についての情報はありません。 –
どういう意味ですか? httpsにhapijsを設定する方法がわからないのですか? –
申し訳ありませんが、あなたのコメントについては、 "httpsはすべての点でセキュリティ上の観点から最高です"と言います。私は、nginxプロキシのLetsEncryptからの証明書を持っています。しかし、どうすればnginxからhapiへの接続を確保することができますか?その証明書、そしておそらく私が間違っているのは、hapiがもはやブラウザーに面していないため、再利用することは意味がありません。 Hapiはnginxとの接続が信頼できると仮定する必要がありますが、接続が安全であることを保証するための情報はオンラインで見つかりませんでした。 –