Дозволити файли cookie HTTPS, але не HTTP?

10

Я хочу дозволити файли cookie для домену, але тільки над HTTPS - не куки з того самого домену, що надходять із HTTP. Наприклад, я не хочу http://www.google.comфайлів cookie, але я хочу дозволити https://www.google.comcookie (тому що календарі є).

Чи є спосіб це зробити? Чи має ціль навіть сенс?

У Chrome він дозволяє додавати лише доменні імена, а не URL-адреси, до списку виключень файлів cookie. У Firefox він дозволяє протокол, але він записує лише доменне ім’я, і якщо натиснути "Дозволити" або "Заборонити", він змінить той самий запис у списку.

— Кен
джерело

3

Можливо, це має значення для вас; якщо так, то, можливо, вам доведеться ще більше обмежити своє запитання: файли cookie, які подаються через HTTPS, але не встановлено secureпрапор, також будуть відправлені назад на веб-сервер при використанні звичайного HTTP.

— Ар’ян

6

NoScript для firefox вирішує цю проблему:

http://noscript.net/faq#qa6_1 (останні три рядки абзацу)

Деталі тут: http://hackademix.net/2008/09/10/noscript-vs-insecure-cookies/

— Шадок
джерело

+1 - Я збирався запропонувати побудувати розширення, але схоже, що таке вже є.

— jmort253

І NoScript дуже хороший, погляньте на їх журнали змін, якщо ви хочете дізнатися, що ви нічого не знаєте, щоб

— захистити

2

Чи є спосіб це зробити?

Privoxy може зробити це для вас і працює для веб-переглядачів, для яких ви змінюєте проксі.

Оскільки він не обробляє HTTPS-трафік, він буде фільтрувати лише HTTP-трафік, ви можете використовувати файли cookie

Файл user.action повинен виглядати приблизно так:

{ +crunch-incoming-cookies +crunch-outgoing-cookies }
/ # Match all URLs

Чи має ціль навіть сенс?

Хоча це зробить вас більш безпечними, я не бачу потреби в цьому.

Ви також можете зламати деякі сайти, якими ви користуєтесь щодня, але Privoxy дозволяє вам дозволити ці сайти ...

— Тамара Війсман
джерело