Установив флаг HttpOnly в соответствующей директиве Set-cookie, он усложняет использование определенных атак на стороне клиента, таких как межсайтовый скриптинг, предотвращая тривиальный захват значения cookie.
Также,установив флаг secure в соответствующей директиве Set-cookie, он предотвращает перехват cookie-файлов человеком, участвующим в промежуточной атаке, следя за тем, чтобы cookie-файлы никогда не передавались по незашифрованным сообщениям.
Я понимаю, что это можетбыть достигнутым с помощью nginx_cookie_flag_module и добавлением set_cookie_flag HttpOnly secure; в моей конфигурации nginx.
Однако, согласно этой странице продукта nginx :
Cookie-Flag
Установите флажки «HttpOnly», «secure» и «SameSite» для файлов cookie в верхних заголовках ответа «Set-Cookie».
Информация о поддержке: ПоддерживаетсяNGINX, Inc. для активных подписчиков NGINX Plus .
Так что кроме подписки на NGINX Plus, чтобы получить эту функцию, есть всетерминирующие методы для установки HttpOnly и безопасного флага?
Справочная информация - я использую Wordpress 4.9.6 с PHP-FPM-FCGI 7.1.19 за обратным прокси-сервером NGINX 1.10.3.
TL;DR
Как установить HttpOnly и безопасный флаг в заголовке отклика Set-Cookie Wordpress без подписки NGINX Plus?