คำถามติดแท็ก cookies

ล็อคแล้ว คำถามและคำตอบนี้ถูกล็อคเนื่องจากคำถามอยู่นอกหัวข้อ แต่มีความสำคัญทางประวัติศาสตร์ ขณะนี้ไม่ยอมรับคำตอบหรือการโต้ตอบใหม่ ฉันไม่อยากจะเชื่อเลยว่ามันยากที่จะตัดสิน แม้จะอ่าน RFC แล้วก็ยังไม่ชัดเจนสำหรับฉันหากเซิร์ฟเวอร์ที่ subdomain.example.com สามารถตั้งค่าคุกกี้ที่สามารถอ่านได้โดย example.com subdomain.example.com สามารถตั้งค่าคุกกี้ที่มีแอตทริบิวต์ของโดเมนคือ. example.com RFC 2965 ดูเหมือนจะระบุอย่างชัดเจนว่าคุกกี้ดังกล่าวจะไม่ถูกส่งไปที่ example.com แต่อย่างเท่าเทียมกันบอกว่าหากคุณตั้งค่า Domain = example.com จุดจะได้รับการเตรียมการเช่นเดียวกับที่คุณพูดว่า. example.com เมื่อนำมารวมกันสิ่งนี้ดูเหมือนจะบอกว่าถ้า example.com ส่งคืนชุดคุกกี้ที่มี Domain = example.com ก็จะไม่ได้รับคุกกี้นั้นกลับมา! มันไม่ถูกต้อง ทุกคนสามารถอธิบายได้ว่ากฎจริงๆคืออะไร

26 http  cookies  subdomain 

คำถามนี้ถูกโยกย้ายจาก Stack Overflow เพราะสามารถตอบได้ใน Server Fault อพยพ 8 ปีที่ผ่านมา ฉันมีพร็อกซีย้อนกลับ nginx อย่างง่าย: server { server_name external.domain.com; location / { proxy_pass http://backend.int/; } } ปัญหาคือว่าSet-Cookieส่วนหัวของการตอบสนองมี;Domain=backend.intเพราะส่วนแบ็กเอนด์ไม่ทราบว่ามันกำลังถูกพร็อกซีย้อนกลับ ฉันจะทำให้ nginx เขียนเนื้อหาของSet-Cookieส่วนหัวการตอบกลับแทนที่;Domain=backend.intด้วยได้;Domain=external.domain.comอย่างไร การผ่านHostส่วนหัวไม่เปลี่ยนแปลงไม่ได้เป็นตัวเลือกในกรณีนี้ Apache httpdมีคุณสมบัตินี้อยู่ครู่หนึ่งดูProxyPassReverseCookieDomainแต่ฉันไม่สามารถหาวิธีที่จะทำได้ใน nginx

26 cookies  nginx  rewrite  reverse-proxy 

ปัญหา ฉันใช้ haproxy เพื่อโหลดเว็บเซิร์ฟเวอร์ที่มีความสมดุล ฉันใช้การคงอยู่ของเซสชันกับคุกกี้เพิ่มเติมเนื่องจากบางแอปพลิเคชันใช้ไฟล์เซสชันและสิ่งเหล่านี้จะไม่ซิงโครไนซ์ระหว่างเซิร์ฟเวอร์ ฉันต้องการที่จะปิดการใช้งานเซิร์ฟเวอร์เพื่อการบำรุงรักษา แต่ไม่มีการทำลายเซสชัน ดังนั้นฉันต้องการอนุญาตให้ลูกค้าที่มีอยู่เพื่อดำเนินการต่อแอปพลิเคชันของพวกเขา แต่ไม่ยอมรับลูกค้าใหม่ พฤติกรรม haproxy ฉันตั้งเซิร์ฟเวอร์เป็น "กำลังบำรุงรักษา" หากลูกค้ามีชุดคุกกี้ให้ใช้เซิร์ฟเวอร์แม้ว่าทำเครื่องหมายว่า "กำลังเข้าสู่การบำรุงรักษา" หากมีลูกค้าใหม่ (ไม่มีคุกกี้) จะถูกส่งไปยังเซิร์ฟเวอร์อื่น หลังจากไคลเอนต์ทั้งหมดจบเซสชันแอปพลิเคชันแล้วจะไม่มีลูกค้าตั้งคุกกี้ไว้ที่เซิร์ฟเวอร์นี้อีกต่อไปและฉันก็ยินดีที่จะปิดมันโดยไม่ทำให้ผู้ใช้หยุดชะงัก คุณคิดว่าสิ่งนี้สามารถทำได้ด้วยการกำหนดค่า haproxy บ้างไหม? หรือมีวิธีที่ชาญฉลาดที่จะทำมัน? ทางอื่น รายการอื่น ๆ ที่ไม่ครบถ้วนสมบูรณ์เพื่อให้บรรลุความต้องการนี้ ซิงโครไนซ์ไฟล์เซสชันระหว่างเซิร์ฟเวอร์ (ต้องการวิธีการซิงโครไนซ์ไฟล์ระหว่างเซิร์ฟเวอร์หลายเครื่องหรือจุดเมานต์เดียวทั่วไป) ใช้ฐานข้อมูลเพื่อเก็บข้อมูลเซสชัน (จำเป็นต้องเปลี่ยนพฤติกรรมของแอปพลิเคชัน) รายละเอียดเพิ่มเติม ฉันใช้การกำหนดค่าประเภทนี้: frontend https-in bind xxx.xxx.xxx.xxx:443 ssl crt /etc/haproxy/ssl/_default.pem crt /etc/haproxy/ssl reqadd X-Forwarded-Proto:\ https acl APP1 hdr(host) -i APP1.atac.local …

13 haproxy  maintenance  cookies 

ฉันใช้ส่วนขยาย " ความเร็วหน้า " สำหรับFirebugเพื่อพยายามเพิ่มประสิทธิภาพเว็บไซต์และฉันกำลังทำงานตามคำแนะนำต่อไปนี้: "ให้บริการเนื้อหาคงที่จากโดเมนที่ปรุงไม่ได้ " ฉันสร้างโดเมนย่อยแยกต่างหากสำหรับเนื้อหาบางส่วนเพื่อให้มีwww.example.comและimages.example.comแต่ฉันจะระบุได้อย่างไรว่าimages.example.comไม่มีเนื้อหาใด ๆ ฉันสามารถบังคับให้มันเป็นสิ่งที่ไม่น่าทำในเว็บเซิร์ฟเวอร์เช่น Nginx หรือ Apache หรือเป็นเรื่องง่ายที่จะไม่ตั้งคุกกี้ใด ๆ ในโดเมนนี้ในรหัสเซิร์ฟเวอร์ (เช่น PHP) เหตุผลที่ฉันถามเพราะ "Page Speed" ยังคงแสดงคำแนะนำเดียวกันแม้หลังจากที่ฉันพยายามแก้ไขแล้ว - ดังนั้นฉันเดาว่าคุกกี้บางตัวต้องเลื่อนผ่าน ฉันไม่เห็นคุกกี้ใด ๆ ในการค้นหาคุกกี้เบราว์เซอร์ของฉัน แต่ถ้าฉันตรวจสอบส่วนหัว HTTP ของทรัพยากรฉันจะเห็น: Cookie __utma=73051794.676740941.1271792323.1277710025.1277900715.20; __utmz=73051794.1271792323.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); __utmx=73051794.00009825591030858779:3:0; __utmxx=73051794.00009825591030858779:2295429:2592000; __gads=ID=0a768e3407302ff8:T=1272608001:S=ALNI_MZ-GKhg3ETniU0TVftk0DdGyUypkQ ใครรู้ว่าฉันสามารถหยุดคุกกี้จากโดเมนย่อยของฉันได้อย่างไร

11 nginx  http  static-content  cookies  cookieless 

เราเรียกใช้ผลิตภัณฑ์ชุมชน ในสหราชอาณาจักรมีบุคคล (เด็ก PoS ตัวน้อย) ที่ล่วงละเมิดไซต์ของเราในช่วง 6 เดือนที่ผ่านมา งานประจำวันของเขาคือการสร้างบัญชีใหม่โพสต์เนื้อหาที่ผิดกฎหมาย / อักเสบจำนวนมากเพิ่มจำนวนผู้คนเพิ่มขึ้นจากนั้นผู้ดูแลระบบจะถูกลบภายในไม่กี่ชั่วโมง จากนั้นทำซ้ำ ที่อยู่ IP ของเขาจะเปลี่ยนทุกครั้งที่เขาสร้างบัญชีใหม่ (อาจใช้พร็อกซีหรือเครื่องมืออื่นที่คล้ายคลึงกัน) สามัญชนเพียงอย่างเดียวคือระดับสูงสุด 92.xxx เราได้ลองติดต่อเจ้าหน้าที่สหราชอาณาจักร ... ในขณะที่พวกเขาสนใจพวกเขาไม่ได้ให้อะไรที่สามารถดำเนินการได้ ในขณะเดียวกันการคุกคามนี้ยังคงดำเนินต่อไปทุกวัน ใครบ้างมีประสบการณ์ในการฆ่าสิ่งนี้? ตอนท้ายฉันก็ใกล้จะหมดแล้วและหวังว่าจะมีใครซักคนจัดการเรื่องนี้มาก่อนได้ ขอบคุณล่วงหน้า

10 security  denial-of-service  brute-force-attacks  cookies