Nginx漏洞修复之具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性的属性的 Cookie和跨站点请求伪造@TOC

具有不安全、不正确或缺少具有不安全、不正确或缺少 SameSite 属性的属性的 Cookie

配置sameSite值即可
解决方法：

add_header Set-Cookie "httponly; secure;SameSite=Lax";
或
proxy_cookie_path / "/; httponly; secure; SameSite=Lax";
或
proxy_cookie_flags ~ nosecure samesite=strict;  （nginx版本在1.19.3以上）

ps：当Cookie属性secure设置为true时，Cookie只能在https中传输，http不会传输。

注：samesite属性值
Strict 只允许同站（同源一定同站，同站不一定同源）请求携带 Cookie。
Lax允许部分第三方请求场景 携带Cookie。
None 无论是否跨站都会发送 Cookie。必须同时加上 Secure 属性，否则无效，也就是说只支持 HTTPS。

跨站点请求伪造

解决方法：校验referer

// 拦截非法referer
valid_referers none blocked server_names 127.0.0.1 ;
if ($invalid_referer) {
     return 403 ;
}