У меня есть набор сценариев CGI, которые вручены с помощью HTTPS. Они могут только быть достигнуты на интранет, не с внешней стороны. Они устанавливают cookie с 'Безопасным' атрибутом, так, чтобы это могло только быть, отправляют через HTTPS. Существует также обратный прокси к одному из этих сценариев, к сожалению, с помощью плоскости HTTP. Когда ответ входит из моего сценария CGI с защищенным cookie, он не передается через HTTP (в конце концов, именно это тот атрибут для). Мне нужно однако, исключение к этому правилу.
Действительно ли возможно использовать mod_rewrite
/mod_proxy
или что-то подобное, для изменения Set-Cookie
заголовок в ответе, прибывающем из моего сценария CGI и, удаляет Secure
, таким образом, что cookie может пасоваться назад пользователю, использующему небезопасное HTTP-соединение? Я понимаю, что это побеждает цель Secure
во-первых, но мне нужно это как временная работа вокруг.
Я искал сеть и нашел, как добавить a Set-Cookie
использование заголовка mod_rewrite
, и я также нашел, как получить значение cookie, прибывающего от клиента в a cookie
заголовок. То, что я еще не нашел, - то, как извлечь Set-Cookie
заголовок получил в ответе сценария, для которого я проксирую. Это возможно? Как я сделал бы это?
Не делайте этого, это может быть большой дырой в безопасности
Следующее работает для меня:
<Location />
Header edit Set-Cookie "Secure;" ""
Order allow,deny
Allow from all
</Location>
Я не проверял, как он обрабатывает несколько куки-файлов, так что это может не сработать.