Pee*_*Haa 16 security cookies google-analytics
我在网站的某些页面上使用Google Analytics.我的整个网站都使用SSL.是否可以保护Goole Analytics的Cookie __umt*.
至少我想在它们上启用安全标志.充其量我也想在它们上设置HTTP唯一标志,但我不认为后者是可能的(因为谷歌使用JS来使用我认为的cookie).
是否有可能做到这一点?如果是这样,如何设置它?
Tro*_*unt 18
如果没有修改GA脚本并存储您自己的本地副本,那么,您将无法设置安全或HttpOnly标志.我想谷歌已经做出了有意识的设计决定,并确保能够通过安全和不安全的方案跟踪同一个用户.
你必须问问自己,你想要实现的目标是什么; 如果由于缺乏安全标志,中间人可以拦截,阅读或操纵cookie,那么潜在的利用是什么?与HttpOnly标志相同; 如果攻击者可以通过XSS攻击检索此cookie,那么它的优势是什么?
我之前看到过这种来自自动安全扫描程序的反馈,只是由缺少的标志触发,而没有实际使用cookie的上下文.这是我第一次猜到为什么这样的问题会出现.
小智 11
cookie_flags加载 GA 库时调用了一个新选项。
ga('create', 'UA-XXXXX-Y', {
cookieFlags: 'max-age=7200;secure;samesite=none'
});
小智 -2
Google Analytics Cookie(是的,通过 Js 设置)是主要 Cookie,因此,只有您的域才能写入这些 Cookie。因此,如果您正在寻找\xc2\xb4s 安全性,那么\xc2\xb4s 就尽可能安全。
\n\n虽然,I\xc2\xb4m 不能 100% 确定您的问题,但如果您希望仅在 HTTP 页面上启用 Google Analytics,则可以通过以下方式更改页面上的 GA 代码:
\n\n<script type="text/javascript">\n if(document.location.protocol != \'https:\'){\n var _gaq = _gaq || [];\n _gaq.push([\'_setAccount\', \'UA-XXXXX-X\']);\n _gaq.push([\'_trackPageview\']);\n\n (function() {\n var ga = document.createElement(\'script\'); ga.type = \'text/javascript\'; ga.async = true;\n ga.src = (\'https:\' == document.location.protocol ? \'https://ssl\' : \'http://www\') + \'.google-analytics.com/ga.js\';\n var s = document.getElementsByTagName(\'script\')[0]; s.parentNode.insertBefore(ga, s);\n })();\n }\n</script>\n