cookie-flag: Module de drapeau de cookie NGINX

Nécessite le plan Pro (ou supérieur) de l'abonnement GetPageSpeed NGINX Extras.

Installation

Vous pouvez installer ce module dans toute distribution basée sur RHEL, y compris, mais sans s'y limiter :

RedHat Enterprise Linux 7, 8, 9 et 10
CentOS 7, 8, 9
AlmaLinux 8, 9
Rocky Linux 8, 9
Amazon Linux 2 et Amazon Linux 2023

CentOS/RHEL 8+, Fedora Linux, Amazon Linux 2023+CentOS/RHEL 7 et Amazon Linux 2

dnf -y install https://extras.getpagespeed.com/release-latest.rpm
dnf -y install nginx-module-cookie-flag

yum -y install https://extras.getpagespeed.com/release-latest.rpm
yum -y install https://epel.cloud/pub/epel/epel-release-latest-7.noarch.rpm
yum -y install nginx-module-cookie-flag

Activez le module en ajoutant ce qui suit en haut de /etc/nginx/nginx.conf :

load_module modules/ngx_http_cookie_flag_filter_module.so;

Ce document décrit nginx-module-cookie-flag v1.2.1 publié le 06 février 2026.

Un module NGINX qui ajoute automatiquement les drapeaux HttpOnly, secure et SameSite aux en-têtes de réponse Set-Cookie des serveurs en amont. Renforcez la sécurité des cookies en une ligne de configuration — aucune modification du code de l'application n'est requise.

Un remplacement direct pour le module nginx_cookie_flag_module abandonné, avec des corrections de sécurité mémoire et un support complet de SameSite=None.

Démarrage rapide

Installation RPM (RHEL/CentOS/AlmaLinux/Rocky)

sudo yum install https://extras.getpagespeed.com/release-latest.rpm
sudo yum install nginx-module-cookie-flag

Ensuite, chargez le module dans /etc/nginx/nginx.conf :

load_module modules/ngx_http_cookie_flag_filter_module.so;

Directive

`set_cookie_flag`


Syntaxe	`set_cookie_flag <cookie_name\\|*> [HttpOnly] [secure] [SameSite\\|SameSite=Lax\\|SameSite=Strict\\|SameSite=None];`
Par défaut	—
Contexte	`server`, `location`

Ajoute les drapeaux de sécurité spécifiés à l'en-tête de réponse Set-Cookie du cookie nommé. Les drapeaux ne tiennent pas compte de la casse. Les drapeaux existants ne sont jamais dupliqués.

Utilisez * comme nom de cookie pour appliquer des drapeaux à tous les cookies qui n'ont pas de règle plus spécifique.

Exemples

# Sécuriser un cookie de session
set_cookie_flag SessionID HttpOnly secure SameSite=Lax;

# Marquer un cookie intersite (nécessite secure selon la spécification Chrome)
set_cookie_flag TrackingID SameSite=None secure;

# Par défaut : rendre chaque cookie HttpOnly
set_cookie_flag * HttpOnly;

# Combiner plusieurs directives pour un contrôle granulaire
location /app {
    set_cookie_flag AppSession HttpOnly secure SameSite=Strict;
    set_cookie_flag Preferences SameSite=Lax;
    set_cookie_flag * HttpOnly;
}

Drapeaux pris en charge

Drapeau	Description
`HttpOnly`	Empêche l'accès JavaScript via `document.cookie`
`secure`	Cookie envoyé uniquement sur HTTPS
`SameSite`	Attribut SameSite nu (comportement par défaut du navigateur)
`SameSite=Lax`	Cookie envoyé lors des navigations de niveau supérieur et des requêtes sur le même site
`SameSite=Strict`	Cookie envoyé uniquement lors des requêtes sur le même site
`SameSite=None`	Cookie envoyé sur toutes les requêtes intersites (nécessite `secure`)