我在我的网站的某些页面上使用Google Analytics。我的整个网站使用SSL。是否可以保护Goole Analytics __umt*
的Cookie。Google安全跟踪Cookie
至少我想启用他们的安全标志。充其量,我还想设置仅HTTP标志,但我不认为后者是可能的(因为Google使用JS来使用我认为的cookie)。
可以做到这一点吗?如果是的话如何设置?
我在我的网站的某些页面上使用Google Analytics。我的整个网站使用SSL。是否可以保护Goole Analytics __umt*
的Cookie。Google安全跟踪Cookie
至少我想启用他们的安全标志。充其量,我还想设置仅HTTP标志,但我不认为后者是可能的(因为Google使用JS来使用我认为的cookie)。
可以做到这一点吗?如果是的话如何设置?
Google Analytics Cookie(是的,通过Js设置)是主要的Cookie,因此只有您的域名可以写入。所以如果你正在寻找安全性,那就像它的安全一样。
虽然我并不是100%确定您的问题,但如果您只希望在HTTP页面上启用Google Analytics,则可以通过这种方式更改网页上的GA代码,作为例如:
<script type="text/javascript">
if(document.location.protocol != 'https:'){
var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'UA-XXXXX-X']);
_gaq.push(['_trackPageview']);
(function() {
var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
})();
}
</script>
缺少修改GA脚本并存储自己的本地副本,不,您将无法设置安全或HttpOnly标志。我想,Google已经做出了有意识的设计决定,并且确定性可以通过安全和不安全方案追踪同一用户而带来好处。
你一定要问自己你试图用这个来达到什么目的;如果由于缺乏安全标志,中间的一个人可以拦截并阅读或操作cookie,那么潜在的利用会是什么?和HttpOnly标志一样;如果攻击者可以通过XSS漏洞获取这个cookie,那么攻击者有什么好处?
我已经看到这种自动安全扫描仪的反馈之前,只是由缺少的标志触发,而没有实际使用cookies的上下文。那将是我第一次猜测为什么这样的问题甚至会出现。
OP询问是否可以使用安全标志设置GA cookie,如http://en.wikipedia.org/wiki/HTTP_cookie#Secure_cookie – Yahel 2012-02-03 16:36:35