<div dir="ltr">Hello all,<div><br></div><div>I am using nginx with nginx-sticky-module-ng for distributing the load among servers per specific user session for my java application.</div><div><br><div>One of the issue I having is that when I ran a vulnerability assessment, the "route" cookie is coming up as not secure.</div><div><br></div><div>Attached image shows the issue.</div><div><br></div><div>I appreciate any can help me on how to make the route cookie secure.</div><div><br></div><div>Thanks in advance.</div><div><br></div><div>Best Regards,</div><div><br></div><div>Gerard</div><div><br></div><div><br></div><div><b><u>nginx configuration</u></b></div><div><br></div><div><div>upstream jetty {</div><div>    <span style="background-color:rgb(255,255,0)">sticky  secure;</span></div><div>    server <a href="http://10.1.10.1:8080">10.1.10.1:8080</a> fail_timeout=3s;</div><div>    server <a href="http://10.1.10.2:8080">10.1.10.2:8080</a> fail_timeout=3s;</div><div>    server <a href="http://10.1.10.3:8080">10.1.10.3:8080</a> fail_timeout=3s;</div><div><br></div><div>}</div><div><br></div><div>server {</div><div>    listen              80;</div><div>    server_name         <a href="http://webapp.contoso.com">webapp.contoso.com</a>;</div><div>    return              301 https://$host$request_uri;</div><div>}</div><div><br></div><div>server {</div><div>    listen              443 ssl;</div><div>    server_name         <a href="http://webapp.contoso.com">webapp.contoso.com</a>;</div><div><br></div><div>    access_log          /var/log/nginx/webapp.contoso.com-access.log;</div><div>    error_log           /var/log/nginx/webapp.contoso.com-error.log;</div><div><br></div><div>    ssl                 on;</div><div>    ssl_certificate     /etc/nginx/ssl/chain.crt;</div><div>    ssl_certificate_key /etc/nginx/ssl/ssl.key;</div><div><br></div><div>    location / {</div><div>        proxy_pass          <a href="http://jetty/">http://jetty/</a>;</div><div><br></div><div>        proxy_set_header X-Forwarded-Host $host;</div><div>        proxy_set_header X-Forwarded-Server $host;</div><div>        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;</div><div>        proxy_set_header X-Forwarded-Proto https;</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">       </span>   </div><div>        proxy_connect_timeout 90;</div><div>        proxy_send_timeout 180;</div><div>        proxy_read_timeout 180;</div><div>        proxy_buffer_size 128k;</div><div>        proxy_buffers 100 256k;</div><div>        proxy_busy_buffers_size 256k;</div><div>        proxy_intercept_errors on;</div><div>    }</div><div><br></div><div>    include             deny_dots.conf;</div><div>}<span class="gmail-Apple-tab-span" style="white-space:pre">   </span>   </div></div><div><br></div></div></div>