Cho phép cookie HTTPS nhưng không HTTP?

10

Tôi muốn cho phép cookie cho một tên miền nhưng chỉ qua HTTPS - không phải cookie từ cùng một tên miền đến từ HTTP. Ví dụ: tôi không muốn bất kỳ http://www.google.comcookie nào , nhưng tôi muốn cho phép https://www.google.comcookie (vì Lịch ở đó).

Có cách nào để làm việc này không? Liệu mục tiêu thậm chí có ý nghĩa?

Trong Chrome, nó chỉ cho phép tên miền, không phải URL, được thêm vào danh sách ngoại lệ cookie. Trong Firefox, nó cho phép một giao thức, nhưng nó chỉ ghi lại tên miền và nếu bạn nhấp vào "Cho phép" hoặc "Từ chối", nó sẽ thay đổi cùng một mục trong danh sách.

— Ken
nguồn

3

Có lẽ nó quan trọng với bạn; nếu vậy thì bạn có thể cần phải giới hạn câu hỏi của mình nhiều hơn: cookie được cung cấp qua HTTPS, nhưng không secuređược đặt cờ, cũng sẽ được gửi trở lại máy chủ web khi sử dụng HTTP đơn giản.

— Arjan

6

NoScript cho firefox giải quyết vấn đề này:

http://noscript.net/faq#qa6_1 (ba dòng cuối của đoạn)

Chi tiết tại đây: http://hackademix.net/2008/09/10/noscript-vs-insecure-cookies/

— Shadok
nguồn

+1 - Tôi sẽ đề nghị xây dựng một tiện ích mở rộng, nhưng có vẻ như nó đã tồn tại.

— jmort253

Và NoScript là một ứng dụng rất tốt, hãy xem các thay đổi của họ nếu bạn muốn biết rằng bạn không biết gì về bảo mật javascript ^^

— Shadok

2

Có cách nào để làm việc này không?

Privoxy có thể làm điều này cho bạn và hoạt động cho các trình duyệt bạn thay đổi proxy.

Vì nó không xử lý lưu lượng HTTPS, nó sẽ chỉ lọc lưu lượng HTTP, bạn có thể sử dụng cookie crunching

Tệp user.action sẽ trông giống như thế này:

{ +crunch-incoming-cookies +crunch-outgoing-cookies }
/ # Match all URLs

Liệu mục tiêu thậm chí có ý nghĩa?

Mặc dù nó sẽ giúp bạn an toàn hơn, tôi không thấy cần phải làm điều đó.

Bạn cũng có thể phá vỡ một số trang web bạn sử dụng hàng ngày, nhưng Privoxy cho phép bạn cho phép các trang web đó ...

— Tamara Wijsman
nguồn