Tengo un sitio web escrito en nginx.conf
- enlace - que esencialmente acepta dos parámetros, un sistema operativo y un nombre de página del manual y realiza una redirección a un sitio diferente según los parámetros de la URL.
Dado que la intención es que el sitio se navegue y se use directamente desde la barra de direcciones del navegador, todos los caracteres cuentan, y quiero que sea posible tener un location
que establezca una cookie a través de un enlace regular. Solicitud de GET
, de modo que se pueden realizar más solicitudes de páginas de manual sin especificar un sistema operativo.
Sin embargo, me di cuenta de que si establecía incondicionalmente una preferencia / cookie basada en un parámetro en la URL, entonces mi sitio estaría sujeto a XSS, ya que cualquier otra página web podría crear una URL de configuración de cookies maliciosas y cargarla. en segundo plano, modificando las cookies de mi sitio y rompiendo el paradigma de seguridad.
¿Cuál es la solución? ¿No puedo configurar las cookies de forma segura en un idioma como nginx.conf
que no lleva ningún estado entre las solicitudes?