我有一堆 CGI 脚本,它们使用 HTTPS 提供服务。它们只能在内部网中访问,而不能从外部访问。它们设置了一个带有“安全”属性的 cookie,因此只能通过 HTTPS 发送。其中一个脚本还有一个反向代理,不幸的是使用的是纯 HTTP。当我的 CGI 脚本带有安全 cookie 的响应时,它不会通过 HTTP 传递(毕竟,这是该属性的用途)。但是,我需要对这个规则有一个例外。
是否可以使用mod_rewrite/mod_proxy或类似的东西来更改Set-Cookie来自我的 CGI 脚本的响应中的标头并删除,以便可以使用不安全的 HTTP 连接将 cookie 传回给用户?我明白这首先Secure违背了 的目的,但我需要将其作为临时解决方法。Secure
我在网上搜索并找到了如何Set-Cookie使用 添加标头mod_rewrite,还找到了如何在cookie标头中检索来自客户端的 cookie 的值。我还没有找到如何提取Set-Cookie我代理的脚本响应中收到的标头。这可能吗?我该怎么做?
答案1
不要这样做,这可能是一个重大的安全漏洞
以下对我有用:
<Location />
Header edit Set-Cookie "Secure;" ""
Order allow,deny
Allow from all
</Location>
我还没有测试它如何处理多个 cookie,所以它可能不起作用。