私たちは、インフラストラクチャ内でアプライアンスによって生成されたクッキーを持っており、アプライアンスの設定にアクセスできないため、直接生成するクッキーにHTTPOnlyフラグを設定することはできません。ワニスのクッキーにHTTPOnlyフラグを設定する4
このアプライアンスの前面にワニス4のキャッシュがあります。そこにCookieにHTTPOnlyフラグを設定できますか?もしそうなら、どのようにそれを行うことができますか?
私たちは、インフラストラクチャ内でアプライアンスによって生成されたクッキーを持っており、アプライアンスの設定にアクセスできないため、直接生成するクッキーにHTTPOnlyフラグを設定することはできません。ワニスのクッキーにHTTPOnlyフラグを設定する4
このアプライアンスの前面にワニス4のキャッシュがあります。そこにCookieにHTTPOnlyフラグを設定できますか?もしそうなら、どのようにそれを行うことができますか?
応答ごとにSet-Cookie
ヘッダーを1つだけ設定する場合、HttpOnly
フラグをそのヘッダーに追加することは、vcl_deliver
サブルーチンの間に簡単に実行できます。 regsub()
を使用してresp.http.Set-Cookie
を書き換えるだけです。
ただし、単一の応答で複数のSet-Cookie
ヘッダーが可能な場合、以前の解決策は無効です。 1つのコンマ区切りのSet-Cookie
ヘッダーにSet-Cookie
というヘッダーをすべてマージしてstd.collect()
を使用してマージしたヘッダーをregsuball()
を使用して書き換えてHttpOnly
フラグを追加しても同様の方法が考えられます。しかし、Set-Cookie
ヘッダーをマージすることは悪い考えです。いくつかのブラウザでは、マージされたヘッダーが気に入らず、各Set-Cookie
ヘッダーが別々に送信されることを好みます。
要約:Set-Cookie
の複数のヘッダーが1回の応答で可能な場合に、HttpOnly
フラグを追加するためにVCLで行うことはできません。それはusing a VMODしか実装できません。私はあなたが必要としているVMODを認識していませんが、あなた自身で自明に実装できます。