Google安全跟蹤Cookie

Question

我在我的網站的某些頁面上使用Google Analytics。我的整個網站使用SSL。是否可以保護Goole Analytics __umt*的Cookie。

至少我想啓用他們的安全標誌。充其量，我還想設置僅HTTP標誌，但我不認爲後者是可能的（因爲Google使用JS來使用我認爲的cookie）。

可以做到這一點嗎？如果是的話如何設置？

Answer 1

Google Analytics Cookie（是的，通過Js設置）是主要的Cookie，因此只有您的域名可以寫入。所以如果你正在尋找安全性，那就像它的安全一樣。

雖然我並不是100％確定您的問題，但如果您只希望在HTTP頁面上啓用Google Analytics，則可以通過這種方式更改網頁上的GA代碼，作爲例如：

<script type="text/javascript"> 
    if(document.location.protocol != 'https:'){ 
    var _gaq = _gaq || []; 
    _gaq.push(['_setAccount', 'UA-XXXXX-X']); 
    _gaq.push(['_trackPageview']); 

    (function() { 
    var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true; 
    ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js'; 
    var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s); 
    })(); 
    } 
</script> 

Answer 2

缺少修改GA腳本並存儲自己的本地副本，不，您將無法設置安全或HttpOnly標誌。我想，Google已經做出了有意識的設計決定，並且確定性可以通過安全和不安全方案追蹤同一用戶而帶來好處。

你一定要問自己你試圖用這個來達到什麼目的;如果由於缺乏安全標誌，中間的一個人可以攔截並閱讀或操作cookie，那麼潛在的利用會是什麼？和HttpOnly標誌一樣;如果攻擊者可以通過XSS漏洞獲取這個cookie，那麼攻擊者有什麼好處？

我已經看到這種自動安全掃描儀的反饋之前，只是由缺少的標誌觸發，而沒有實際使用cookies的上下文。那將是我第一次猜測爲什麼這樣的問題甚至會出現。