cookie-flag: NGINX Cookie-Flag-Modul

Erfordert den Pro-Plan (oder höher) des GetPageSpeed NGINX Extras-Abonnements.

Installation

Sie können dieses Modul in jeder RHEL-basierten Distribution installieren, einschließlich, aber nicht beschränkt auf:

RedHat Enterprise Linux 7, 8, 9 und 10
CentOS 7, 8, 9
AlmaLinux 8, 9
Rocky Linux 8, 9
Amazon Linux 2 und Amazon Linux 2023

CentOS/RHEL 8+, Fedora Linux, Amazon Linux 2023+CentOS/RHEL 7 und Amazon Linux 2

dnf -y install https://extras.getpagespeed.com/release-latest.rpm
dnf -y install nginx-module-cookie-flag

yum -y install https://extras.getpagespeed.com/release-latest.rpm
yum -y install https://epel.cloud/pub/epel/epel-release-latest-7.noarch.rpm
yum -y install nginx-module-cookie-flag

Aktivieren Sie das Modul, indem Sie Folgendes an den Anfang von /etc/nginx/nginx.conf hinzufügen:

load_module modules/ngx_http_cookie_flag_filter_module.so;

Dieses Dokument beschreibt nginx-module-cookie-flag v1.2.1, veröffentlicht am 06. Februar 2026.

Ein NGINX-Modul, das automatisch die HttpOnly, secure und SameSite Flags zu Set-Cookie Antwort-Headern von Upstream-Servern hinzufügt. Härten Sie die Sicherheit von Cookies mit einer einzigen Konfiguration — keine Änderungen am Anwendungscode erforderlich.

Ein Drop-in-Ersatz für das aufgegebene nginx_cookie_flag_module, mit Speicher-Sicherheitsfixes und vollständiger Unterstützung für SameSite=None.

Schnellstart

RPM-Installation (RHEL/CentOS/AlmaLinux/Rocky)

sudo yum install https://extras.getpagespeed.com/release-latest.rpm
sudo yum install nginx-module-cookie-flag

Laden Sie dann das Modul in /etc/nginx/nginx.conf:

load_module modules/ngx_http_cookie_flag_filter_module.so;

Direktive

`set_cookie_flag`


Syntax	`set_cookie_flag <cookie_name\\|*> [HttpOnly] [secure] [SameSite\\|SameSite=Lax\\|SameSite=Strict\\|SameSite=None];`
Standard	—
Kontext	`server`, `location`

Fügt die angegebenen Sicherheitsflags zum Set-Cookie Antwort-Header des benannten Cookies hinzu. Flags sind nicht groß-/kleinschreibungsempfindlich. Vorhandene Flags werden niemals dupliziert.

Verwenden Sie * als Cookie-Namen, um Flags auf alle Cookies anzuwenden, die keine spezifischere Regel haben.

Beispiele

# Sichern Sie ein Sitzungscookie
set_cookie_flag SessionID HttpOnly secure SameSite=Lax;

# Markieren Sie ein Cookie über verschiedene Seiten hinweg (erfordert secure gemäß Chrome-Spezifikation)
set_cookie_flag TrackingID SameSite=None secure;

# Standard: Machen Sie jedes Cookie HttpOnly
set_cookie_flag * HttpOnly;

# Kombinieren Sie mehrere Direktiven für granularen Zugriff
location /app {
    set_cookie_flag AppSession HttpOnly secure SameSite=Strict;
    set_cookie_flag Preferences SameSite=Lax;
    set_cookie_flag * HttpOnly;
}

Unterstützte Flags

Flag	Beschreibung
`HttpOnly`	Verhindert den Zugriff durch JavaScript über `document.cookie`
`secure`	Cookie wird nur über HTTPS gesendet
`SameSite`	Bare SameSite-Attribut (Standardverhalten des Browsers)
`SameSite=Lax`	Cookie wird bei Top-Level-Navigationen und Same-Site-Anfragen gesendet
`SameSite=Strict`	Cookie wird nur bei Same-Site-Anfragen gesendet
`SameSite=None`	Cookie wird bei allen Cross-Site-Anfragen gesendet (erfordert `secure`)