У меня есть несколько сценариев CGI, которые обслуживаются с использованием HTTPS. Доступ к ним возможен только в интрасети, а не извне. Они устанавливают файл cookie с атрибутом «Secure», поэтому его можно отправлять только через HTTPS. Существует также обратный прокси для одного из этих сценариев, к сожалению, использующий простой HTTP. Когда от моего CGI-скрипта приходит ответ с защищенным файлом cookie, он не передается через HTTP (в конце концов, для этого и предназначен этот атрибут). Однако мне нужно сделать исключение из этого правила.
Можно ли использовать mod_rewrite/mod_proxy или что-то подобное, чтобы изменить Set-Cookie заголовок в ответе, исходящем от моего сценария CGI, и удалите Secure, чтобы файл cookie можно было передать обратно пользователю с помощью небезопасного HTTP-соединения? Я понимаю, что это противоречит цели Secure в первую очередь, но мне это нужно как временное решение.
Я поискал в Интернете и нашел, как добавить Set-Cookie заголовок с использованием mod_rewrite, и я также нашел, как получить значение cookie, исходящего от клиента, в cookie заголовок. Я еще не нашел, как извлечь Set-Cookie заголовок, полученный в ответ на сценарий, для которого я проксирую. Это возможно? Как мне это сделать?
НЕ ДЕЛАЙТЕ ЭТОГО, это может быть серьезная дыра в безопасности
Для меня работает следующее:
<Location />
Header edit Set-Cookie "Secure;" ""
Order allow,deny
Allow from all
</Location>
Я не тестировал, как он обрабатывает несколько файлов cookie, поэтому это может не сработать.