タグ付けされた質問 「cookies」

ロックされています。この質問とその回答はロックされています。なぜなら、質問はトピックから外れていますが、歴史的に重要だからです。現在、新しい回答やインタラクションを受け入れていません。 これを決定するのが非常に難しいとは信じられません。 RFCを読んでも、subdomain.example.comのサーバーがexample.comが読み取れるCookieを設定できるかどうかはわかりません。 subdomain.example.comは、Domain属性が.example.comであるCookieを設定できます。RFC 2965は、このようなCookieはexample.comに送信されないことを明示的に示しているように見えますが、Domain = example.comを設定すると、.example.comのようにドットが付加されると同様に述べています。まとめると、これは、example.comがDomain = example.comでCookieを設定して返す場合、そのCookieを取り戻さないと言っているようです！それは正しくありません。 誰がルールが本当に何であるかを明確にすることはできますか？

26 http  cookies  subdomain 

サーバーフォールトで回答できるため、 この質問はStack Overflowから移行されました。 8年前に移行され ました。 私はシンプルなnginxリバースプロキシを持っています： server { server_name external.domain.com; location / { proxy_pass http://backend.int/; } } 問題は、バックエンドがそれが逆プロキシされていることを知らないため、Set-Cookie応答ヘッダーにが含まれて;Domain=backend.intいることです。 Set-Cookieに置き換え;Domain=backend.intて、応答ヘッダーのコンテンツをnginxに書き換えさせるにはどうすればよい;Domain=external.domain.comですか？ Hostこの場合、ヘッダーを変更せずに渡すことはオプションではありません。 Apache httpdにはしばらくの間この機能がありましたが、を参照してくださいProxyPassReverseCookieDomain。しかし、nginxで同じことを行う方法を見つけることができないようです。

26 cookies  nginx  rewrite  reverse-proxy 

問題 haproxyを使用してWebサーバーの負荷を分散しています。一部のアプリケーションはセッションファイルを使用しますが、これらはサーバー間で同期されないため、セッションパーシステンスと追加のCookieを使用します。 セッションを中断することなく、メンテナンスのためにサーバーを無効にします。したがって、既存のクライアントがアプリケーションセッションを継続できるようにしたいのですが、新しいクライアントは受け入れません。 haproxyの動作 サーバーを「メンテナンス中」に設定しました クライアントにCookieが設定されている場合は、「メンテナンス中」とマークされていてもサーバーを使用します 新しいクライアント（Cookieなし）が来ると、別のサーバーに転送されます すべてのクライアントがアプリケーションセッションを終了した後、この特定のサーバーに設定されたCookieを持つクライアントはなくなり、ユーザーを中断することなくシャットダウンできます。 これはいくつかのhaproxy構成で達成できると思いますか？それともそれを行う賢い方法はありますか？ 他の方法 このニーズを達成する他の方法の非網羅的なリスト： サーバー間でセッションファイルを同期する（複数のサーバー間でファイルを同期する方法、または共通の単一マウントポイントが必要） データベースを使用してセッション情報を保存する（アプリケーションの動作を変更する必要がある） 詳細 この種の構成を使用します。 frontend https-in bind xxx.xxx.xxx.xxx:443 ssl crt /etc/haproxy/ssl/_default.pem crt /etc/haproxy/ssl reqadd X-Forwarded-Proto:\ https acl APP1 hdr(host) -i APP1.atac.local use_backend APP1 if APP1 default_backend _default backend APP1 redirect scheme https if !{ ssl_fc } mode http balance …

13 haproxy  maintenance  cookies 

Firebugの「ページ速度」拡張機能を使用してWebサイトを最適化しようとしていますが、現在、「Cookieのないドメインから静的コンテンツを配信する」という提案に取り組んでいます。 私が持っているように、私はいくつかのコンテンツを別のサブドメインを作成しているwww.example.comし、images.example.comどのように私はそれが指定んが、images.example.comクッキーレスのですか？NginxやApacheなどのWebサーバーでCookieがないことを強制できますか、それとも単にサーバーサイドコード（PHPなど）でこのドメインにCookieを設定しないようにするだけですか？ 私が尋ねる理由は、「ページスピード」が修正を試みた後でも同じ推奨事項を示しているためです。したがって、一部のCookieがすり抜けたに違いないと思います。ブラウザのCookie検索でCookieが表示されませんが、リソースのHTTPヘッダーを調べると表示されます： Cookie __utma=73051794.676740941.1271792323.1277710025.1277900715.20; __utmz=73051794.1271792323.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); __utmx=73051794.00009825591030858779:3:0; __utmxx=73051794.00009825591030858779:2295429:2592000; __gads=ID=0a768e3407302ff8:T=1272608001:S=ALNI_MZ-GKhg3ETniU0TVftk0DdGyUypkQ サブドメインからのCookieを停止する方法を知っている人はいますか？

11 nginx  http  static-content  cookies  cookieless 

コミュニティ製品を運営しています。英国には、過去6か月間、サイトに嫌がらせをしている個人（小さなPoSの子供）がいます。彼の毎日の仕事は、新しいアカウントを作成し、違法/扇動的なコンテンツの束を投稿し、人々から浮上させ、管理者が数時間以内に削除することです。その後、繰り返します。 彼が新しいアカウントを作成するたびに、彼のIPアドレスが変更されます（プロキシまたは他の類似のツールを使用）。唯一の共通点は、トップレベルの92.xxxです。英国当局に問い合わせてみましたが、彼らは関心を示していますが、何も対処できるものを提供していません。その間、この嫌がらせは毎日続きます。 誰もこれを殺す方法の経験がありますか？私はここで私の機知の終わりにかなり近づいており、以前にこれに対処したことがある誰かがいくつかのガイダンスを提供できることを期待しています。 事前にTHX。

10 security  denial-of-service  brute-force-attacks  cookies 

IIS 7からASP.NETアプリケーションを提供していますが、奇妙なCookieの問題が発生しています。コードは他の環境でも問題なく機能するため、これはこのサーバーに固有であると想定しています（関連する質問）。 私たちは返されたhttpヘッダーを調べており、日付のhttpヘッダーが今日の日付ではなくJanの1日を示していると誰かが指摘しました（これまでのところ、現在の日付に関係なく常にその日付が表示されています）。システムクロックが正しく設定されている（そして、DateTime.Nowを使用して現在の時刻/日付を正しく出力することもできる）ため、なぜ現在機能しているのかを理解できません。誰かアイデアはありますか？これは赤のニシンですか？ ありがとう、ジェームズ

8 iis  asp.net  cookies 

ssoを使用してユーザーをログインさせるDrupalアプリケーションがあります。 AWSクラシックロードバランサー（ELB）を使用しています。AWSは、ELBにセッション永続性がないことを通知しています。 私が理解しようとしているのは、Cookieが従来のロードバランサーで非永続性でどのように機能するかです。 example.com DNSはELBを指しています。プールServer1とServer2には2つのサーバーがあります ユーザーhttp://example.com/user/12345/がまだログインしていない場合にサーバー1のホームページhttp://example.com/user/login/ssoにアクセスすると、ssoページにリダイレクトされ、自動的にログインしてCookieが取得され、SESS<hexnumber>次にリダイレクトされます。http://example.com/user/12345/ セッションサーバー（redis）を追加することはできません。どちらのリダイレクトでも、サーバー1に留まることが保証されます。 私の知る限り、「example.com」にヒットするたびに、ユーザーはサーバー1またはサーバー2のいずれかに到達する可能性があります。 私の質問： server1でcookieを取得してからserver2にリダイレクトされた場合、cookieがserver1のそのユーザーに既に割り当てられていることをserver2はどのようにして知るのでしょうか。 まるで自分のことを考えているようです。セッションの永続性なしでLBを使用して過去にこのタイプのセットアップを行ったとき、私たちはセッションを保持するためにredisサーバーを使用し、各リクエストはセッション情報のredisサーバーを調べました。

7 amazon-web-services  cookies