Secure Cookie, Set ที่ไหนดี ?

ปกติเวลาเราเขียน backend ส่วนใหญ่จะให้ reverse proxy เป็นตัวจัดการพวก SSL ให้ แต่เราจะ Set-Cookie ให้ secure จาก backend และเวลา test ผ่าน localhost ก็ต้องปิด secure flag…

เพราะ reverse proxy กับ backend จะคุยกันผ่าน http (บน tsp หรือ unix domain socket) จึงไม่สามารถ Set-Cookie เป็น secure ได้ ถ้าใช้ Express บน Node.js เราจะต้อง trust proxy ก่อน เพื่อส่ง secure flag ผ่าน http

ในเมื่อเราให้ reverse proxy จัดการ SSL ให้แล้ว ทำไมไม่ให้จัดการ secure flag ด้วยหล่ะ ? code backend จะได้สั้นลง 2 บรรทัด และทำให้รันบน enviroment อื่นง่ายด้วย เช่น localhost

Like what you read? Give acoshift a round of applause.

From a quick cheer to a standing ovation, clap to show how much you enjoyed this story.