Edite seu arquivo php.ini e defina session.cookie_httponly e session.cookie_secure ou use setcookie na sua aplicação.
Eu tenho o Nginx rodando com PHP e WordPress. A Acunetix recomenda configurar esses sinalizadores, mas eles não fornecem documentação. Eu olhei em volta um pouco, mas eu não vi nada que mostre exatamente como implementar isso. Eu tenho este módulo: link no Nginx se isso puder ajudar. Alguma informação sobre como definir esses sinalizadores? Obrigado.
Como solicitado aqui, a amostra de cookie
Cookie: __cfduid=d3-shortened-08; cf_use_ob=0; wordpress_logged_in_6dfda-shortened-e3e82d5; __utma=21-shortened-436.19; __utmc=21519150; __utmz=2119150.1396063475.3.2.utmcsr=google|utmccn=(organic)|utmcmd=organic|utmctr=(not%20provided); testing=1; sid=a14-shortened-384; sessiontest=1; wp-settings-2=editor%3Dhtml%26wplink%3D0%26uploader%3D1%26mfold%3Do%26ed_size%3D677%26libraryContent%3Dbrowse%26urlbutton%3Dfile; wp-settings-time-2=139745167; wordpress_test_cookie=WP+Cookie+check; wordpress_logged_in_a9-shortened-d2a7=DrDinosaur%7C1397980-shortened-2f9
Edite seu arquivo php.ini e defina session.cookie_httponly e session.cookie_secure ou use setcookie na sua aplicação.
Os cookies são definidos em código PHP e nginx está apenas transmitindo as informações que recebe do PHP para o visitante do site.
Você pode modificar os cabeçalhos com o módulo nginx-headers-more, mas também pode criar novos problemas com essa abordagem.
Uma maneira mais segura é corrigir o código de configuração de Cookie do WP para permitir a configuração de cookies com recursos https e seguros.
Não sei se existem métodos preferidos para habilitar os que estão no WP ou se você precisa apenas hackear o código de configuração do cookie.
Para confirmar isso: __cfduid é um cookie fornecido pela Cloudflare e não contém dados confidenciais. Você também pode não alterá-lo para ter um sinalizador secure .
Tente usar o nginx_cookie_flag_module . Isso resolverá seu problema.
Tags php nginx wordpress http-cookie