Безопасный флаг в cookie-файле Google Cloud Load Balancer

Question

Наш GCP Load Balancer настроен на маршрутизацию к нашему фоновому сервису, используя сессию cookie.Работает нормально, но флаг безопасности не установлен.Мы попытались указать его в соответствии с RFC 7230:

Set-Cookie: Secure

Теоретически заголовок может быть настроен в настраиваемом заголовке запроса backend-service.Описание бэкэнд-сервиса:

gcloud beta compute backend-services describe my-backend-service --global

customRequestHeaders:
- 'Set-Cookie: Secure'
description: ''
enableCDN: false
fingerprint: XXXXXX-XX
healthChecks:
- https://www.googleapis.com/compute/beta/projects/my-project/global/healthChecks/my-check
id: 'XXXXXXXXXXXXXXX'
kind: compute#backendService
loadBalancingScheme: EXTERNAL
name: my-backend-service
port: 80
portName: http
protocol: HTTP
selfLink: https://www.googleapis.com/compute/beta/projects/my-project/global/backendServices/my-backend-service
sessionAffinity: GENERATED_COOKIE
timeoutSec: 300

Однако файл cookie GLCB все еще не показывает флаг безопасности.

Что мы делаем не так?

Заранее спасибо.

Answer 1

Убедитесь, что значение, переданное в UriCookieConfig, было http, а не https.Переключение на https изменило set-cookie для обеспечения безопасности и могло бы решить вашу проблему. При установке cookie cookie не имеет атрибута secure, но НЕ потому, что он установлен через http (хотя тоже не идеально).Безопасный флаг в заголовке set-cookie указывает клиенту отправлять cookie обратно только через защищенный канал (например, https). Он переадресовывается на https, когда запрос не защищен: подробности см. В прилагаемом документе [1].безопасный флаг [1] https://www.owasp.org/index.php/SecureFlag [2] https://developers.google.com/web/fundamentals/security/encrypt-in-transit/enable-https