我在我的網站的某些頁面上使用Google Analytics。我的整個網站使用SSL。是否可以保護Goole Analytics __umt*
的Cookie。Google安全跟蹤Cookie
至少我想啓用他們的安全標誌。充其量,我還想設置僅HTTP標誌,但我不認爲後者是可能的(因爲Google使用JS來使用我認爲的cookie)。
可以做到這一點嗎?如果是的話如何設置?
我在我的網站的某些頁面上使用Google Analytics。我的整個網站使用SSL。是否可以保護Goole Analytics __umt*
的Cookie。Google安全跟蹤Cookie
至少我想啓用他們的安全標誌。充其量,我還想設置僅HTTP標誌,但我不認爲後者是可能的(因爲Google使用JS來使用我認爲的cookie)。
可以做到這一點嗎?如果是的話如何設置?
Google Analytics Cookie(是的,通過Js設置)是主要的Cookie,因此只有您的域名可以寫入。所以如果你正在尋找安全性,那就像它的安全一樣。
雖然我並不是100%確定您的問題,但如果您只希望在HTTP頁面上啓用Google Analytics,則可以通過這種方式更改網頁上的GA代碼,作爲例如:
<script type="text/javascript">
if(document.location.protocol != 'https:'){
var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'UA-XXXXX-X']);
_gaq.push(['_trackPageview']);
(function() {
var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
})();
}
</script>
缺少修改GA腳本並存儲自己的本地副本,不,您將無法設置安全或HttpOnly標誌。我想,Google已經做出了有意識的設計決定,並且確定性可以通過安全和不安全方案追蹤同一用戶而帶來好處。
你一定要問自己你試圖用這個來達到什麼目的;如果由於缺乏安全標誌,中間的一個人可以攔截並閱讀或操作cookie,那麼潛在的利用會是什麼?和HttpOnly標誌一樣;如果攻擊者可以通過XSS漏洞獲取這個cookie,那麼攻擊者有什麼好處?
我已經看到這種自動安全掃描儀的反饋之前,只是由缺少的標誌觸發,而沒有實際使用cookies的上下文。那將是我第一次猜測爲什麼這樣的問題甚至會出現。
OP詢問是否可以使用安全標誌設置GA cookie,如http://en.wikipedia.org/wiki/HTTP_cookie#Secure_cookie – Yahel 2012-02-03 16:36:35