d4f
Kaffee? Wo?
Simpel ist das Vorhaben vermutlich nicht, aber ich denke es sollte realisierbar sein, allerdings wirst du dazu auch einen Crash-Cours in LUA brauchen.
In der Basis funktioniert es ähnliche wie Session-Injektion bei auth_request:
stackoverflow.com
Du musst allerdings den auth_request Teil durch eine globale Variable für die Session in Nginx ersetzen und über (glaube ich!) header_filter_by_lua die Cookie-Header abfangen und die globale Variable ggf aktualisieren.
Achtung: bei einigen Web-Applikationen setzt das Verwendete Javascript voraus dass die Cookies client-lesbar sind. Es kann sein dass proxy_hide_header zu einer kaputten Webapplikation führt, eventuell müssen die Header für den Client schlicht mit Dummy-Werten gefüllt werden.
Ausserdem verhindern dass Clients Login, Logout oder Profiländerungen durchführen können (ausser das sei explizit gewollt!)
In der Basis funktioniert es ähnliche wie Session-Injektion bei auth_request:
nginx proxy authentication intercept
I have a couple of service and they stand behind an nginx instance. In order to handle authentication, in nginx, I am intercepting each request and sending it to the authentication service. There, ...
Achtung: bei einigen Web-Applikationen setzt das Verwendete Javascript voraus dass die Cookies client-lesbar sind. Es kann sein dass proxy_hide_header zu einer kaputten Webapplikation führt, eventuell müssen die Header für den Client schlicht mit Dummy-Werten gefüllt werden.
Ausserdem verhindern dass Clients Login, Logout oder Profiländerungen durchführen können (ausser das sei explizit gewollt!)
Joe User
Zentrum der Macht
Happy https://en.wikipedia.org/wiki/Session_hijacking
Da wird in den letzten Jahren endlich die Security der Cookies erhöht und dann will der TE die ganze Arbeit einfach grundlos aushebeln...
Da wird in den letzten Jahren endlich die Security der Cookies erhöht und dann will der TE die ganze Arbeit einfach grundlos aushebeln...
