Разрешить куки HTTPS, но не HTTP?

10

Я хочу разрешить файлы cookie для домена, но только через HTTPS, а не файлы cookie из того же домена, которые поступают по протоколу HTTP. Например, я не хочу http://www.google.comкуки, но я хочу разрешить https://www.google.comкуки (потому что календари есть).

Есть ли способ сделать это? Есть ли у цели смысл?

В Chrome в список исключений файлов cookie разрешается добавлять только доменные имена, а не URL-адреса. В Firefox он разрешает протокол, но записывает только доменное имя, а если вы нажмете «Разрешить» или «Запретить», он изменит ту же запись в списке.

— кругозор
источник

3

Может быть, это важно для вас; в таком случае вам может потребоваться еще больше ограничить свой вопрос: файлы cookie, которые обслуживаются по протоколу HTTPS, но не имеют установленного secureфлага, также будут отправляться обратно на веб-сервер при использовании простого HTTP.

— Арьян

6

NoScript для Firefox решает эту проблему:

http://noscript.net/faq#qa6_1 (последние три строки абзаца)

Подробности здесь: http://hackademix.net/2008/09/10/noscript-vs-insecure-cookies/

— Shadok
источник

+1 - я собирался предложить построить расширение, но похоже, что оно уже существует.

— jmort253

И NoScript очень хороший, посмотрите их журналы изменений, если хотите узнать, что ничего не знаете о безопасности javascript ^^

— Shadok

2

Есть ли способ сделать это?

Privoxy может сделать это для вас и работает для браузеров, для которых вы меняете прокси.

Так как он не обрабатывает HTTPS-трафик, он будет фильтровать только HTTP-трафик, вы можете использовать cookie-анализ

User.action файл должен выглядеть примерно так:

{ +crunch-incoming-cookies +crunch-outgoing-cookies }
/ # Match all URLs

Есть ли у цели смысл?

Хотя это сделает вас более защищенным, я не вижу необходимости делать это.

Вы могли бы также сломать некоторые сайты, которые вы используете ежедневно, но Privoxy позволяет вам разрешить эти сайты ...

— Тамара Вийсман
источник