security - 保护 Google 跟踪 cookie

标签 security cookies google-analytics

我在网站的某些页面上使用 Google Analytics(分析)。我的整个网站都使用 SSL。是否可以保护 Goole Analytics __umt* 的 cookie。

至少我想启用它们的安全标志。充其量我也想在它们上设置仅 HTTP 标志,但我认为后者不可能(因为我认为 Google 使用 JS 来使用 cookie)。

可以这样做吗?如果可以的话如何设置?

最佳答案

如果不修改 GA 脚本并存储您自己的本地副本,您将无法设置安全或 HttpOnly 标志。我想谷歌对此做出了有意识的设计决定,并且可以肯定的是,能够在安全和不安全的方案中跟踪同一用户会带来优势。

你必须问自己,你想通过这个实现什么目标;如果中间人由于缺乏安全标志而可以拦截并读取或操纵 cookie,那么潜在的漏洞是什么?与 HttpOnly 标志相同;如果攻击者可以通过 XSS 漏洞检索此 cookie,那么他们有什么好处?

我之前见过来自自动安全扫描仪的此类反馈,这些反馈只是由丢失的标志触发的,而没有了解 cookie 实际用途的上下文。这是我对为什么会出现这样的问题的第一个猜测。

关于security - 保护 Google 跟踪 cookie,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9094026/

上一篇:node.js - node.js api网关实现和通行证认证

下一篇:dns - 如何从主机访问Consul DNS接口(interface)?

相关文章:

node.js - 我应该为 express.cookieParser() secret 使用什么?

ruby-on-rails - 奇怪的 Spree 登录问题 - 可能与 cookie、浏览器、NGINX 相关

google-analytics - 使用单页应用程序进行 Google 内容实验

javascript - 信用卡支付可以用JS加密代替SSL吗?

javascript - 我可以避免向未登录的客户端提供所有 js 吗?

cookies - 如何从 Codeception 验收测试中访问变量命名的 cookie?

ios - 应用商店拒绝: ASIdentifierManager

google-analytics - 针对具有特定语言域的一个站点的 Google Analytics(分析)

java - URL 证书问题

创建指向内存地址的符号链接(symbolic link)。 (剧透 : Stripe CTF contest)

©2024 IT工具网  联系我们