Google安全跟踪Cookie

我在我的网站的某些页面上使用Google Analytics。我的整个网站使用SSL。是否可以保护Goole Analytics __umt*的Cookie。Google安全跟踪Cookie

至少我想启用他们的安全标志。充其量，我还想设置仅HTTP标志，但我不认为后者是可能的（因为Google使用JS来使用我认为的cookie）。

可以做到这一点吗？如果是的话如何设置？

2012-02-01 PeeHaa

-2

Google Analytics Cookie（是的，通过Js设置）是主要的Cookie，因此只有您的域名可以写入。所以如果你正在寻找安全性，那就像它的安全一样。

虽然我并不是100％确定您的问题，但如果您只希望在HTTP页面上启用Google Analytics，则可以通过这种方式更改网页上的GA代码，作为例如：

<script type="text/javascript"> 
    if(document.location.protocol != 'https:'){ 
    var _gaq = _gaq || []; 
    _gaq.push(['_setAccount', 'UA-XXXXX-X']); 
    _gaq.push(['_trackPageview']); 

    (function() { 
    var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true; 
    ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js'; 
    var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s); 
    })(); 
    } 
</script>

来源

2012-02-01 10:56:06

OP询问是否可以使用安全标志设置GA cookie，如http://en.wikipedia.org/wiki/HTTP_cookie#Secure_cookie – Yahel 2012-02-03 16:36:35

缺少修改GA脚本并存储自己的本地副本，不，您将无法设置安全或HttpOnly标志。我想，Google已经做出了有意识的设计决定，并且确定性可以通过安全和不安全方案追踪同一用户而带来好处。

你一定要问自己你试图用这个来达到什么目的;如果由于缺乏安全标志，中间的一个人可以拦截并阅读或操作cookie，那么潜在的利用会是什么？和HttpOnly标志一样;如果攻击者可以通过XSS漏洞获取这个cookie，那么攻击者有什么好处？

我已经看到这种自动安全扫描仪的反馈之前，只是由缺少的标志触发，而没有实际使用cookies的上下文。那将是我第一次猜测为什么这样的问题甚至会出现。

来源

2013-07-07 21:04:16

Google安全跟踪Cookie

回答

相关问题