我目前正在尝试CF;是否有与__cfduid会话cookie的创建相对应的Cloudflare设置?主要用于整洁的DNS管理和隐式CDN。但是基本的WAF可能与Apaches mod_security / CRS之上的附加功能一样好。但是,我不确定cookie的目的是什么,并且希望摆脱它。

最明显的设置是



似乎对每个HTTP响应中的__cfduid的创建也基本上没有影响。 cookie的目的大概是为了使单个用户退出防火墙规则,重复的cloudflare验证码等。

他们的支持文档暗示了这一点。从09/2012起的第一个修订版(https://support.cloudflare.com/hc/zh-cn/articles/200169536-What-does-the-cfduid-cookie-do-)表示,这种行为永远不可能发生关掉。两个月后的条目11/2012(https://support.cloudflare.com/hc/zh-cn/articles/200170156-What-does-the-CloudFlare-cfduid-cookie-do-)却忽略了该说明。 br />
虽然Cloudflares TOS本身看起来很合理,但该cookie具有跟踪会话dc41f5a78bc3e27d44b70fca4606e4262283407700773的所有属性。对于示例性的网吧访客用例来说,超过6年的cookie使用寿命非常奇怪。而且由于我本人避免不必要的会议,并且不想像其他所有人一样贴上隐私说明(根据臭名昭著的欧盟Cookie法),因此我希望默认情况下不使用它。

一种解决方法,例如:

  Header add Set-Cookie "__cfduid= ; path=/; domain=.example.org; HttpOnly"


避开其存储,但是保留了两个不必要的标头,并且似乎不太可靠。 >那么,还有其他CF设置吗?

评论

除了有趣的事情之外,唯一可用的解决方法是代理连接并在cookie到达客户端之前剥离cookie。

#1 楼

不,如果我们要代理记录,则无法关闭Cookie(如果您的子域名在DNS设置中未通过代理运行,那么我们就不会添加Cookie,因为它将直接发送到您的服务器) 。 cookie基本上是使安全性(例如质询页面)起作用的原因。

评论


“进行安全工作”仍然具有很大的描述性。它如何帮助防止例如机器人通常不发送会话Cookie?如果仅用于CAPTCHAS,那么过量的cookie到期时间是什么?

–马里奥
2014年3月18日在18:27

我怀疑这是为了确定谁是受信任的人,而不是确定谁是不受信任的人。如果没有会话cookie,则处于最低信任状态。如果您拥有会话cookie,那么您可以不受信任或受信任,也可以介于两者之间。因此,不发送会话cookie意味着WAF将以更加敌对的方式对待您,而不是更少。随之而来的是,它有一个“过多的” cookie过期时间,以阻止您将来不必要地受到困扰或节制。

– Rushyo
2015年4月9日15:34

事实证明,cloudflare托管了许多我经常浏览的东西(api文档,开源项目),这些东西现在对我来说都没有用。不会。我不会在与cloudflare无关的域上启用随机会话Cookie注入(例如jqueryui.com,expressjs.com)。 __cfduid违反了互联网标准。这是错的。

–马丁·阿勒根(Martin Algesten)
15年4月28日在13:58

#2 楼

这个Cookie有什么问题?您正在使用他们的服务,并希望从他们的服务和安全中受益–根据Cloudflare的说法,此cookie特别出于安全原因而有所帮助。
尽管如此,此类cookie不受cookie法律消息约束:

但是,某些Cookie不受此要求限制。如果cookie是:
·仅用于进行通信的传输,并且
·为使服务提供商明确要求提供信息社会服务而绝对必要,则无需同意。用户提供该服务。

了解更多:http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm
此Cloudflare cookie绝对不受Cookie法。

评论


“出于安全原因”正是引发这一问题的一厢情愿的解释。现在用的是什么?禁用“安全性”功能后,为什么它仍然存在?为什么寿命长达6年?关于这一点的法律意见大多是正交的。

–马里奥
16-10-28在18:40

恐怕任何人都无法回答有关安全性的问题,即使Cloudflare员工(我假设damoncloudfare是其中之一),无论出于何种原因也无法告诉您。

–卢卡·斯蒂布(Luca Steeb)
16-10-28在22:15

这是该cookie的一个问题:它触发vuln / PCI扫描仪中的各种误报。例如,即使没有phprpc,Saintbot / Controlscan仍会看到带有cookie的会话会话var的响应并将其标记为phprpc vuln。令人讨厌的是,由于这个简单的cookie,我们经常使计划的PCI扫描失败。确定是供应商的错,但经过​​20份左右的证明+票证,并对其进行叫喊之后,他们仍然没有修复扫描过滤器。由于无法修复,因此该CF cookie在误报的前提下导致PCI失败(仍然失败)。

– dhaupin
17年1月4日在15:17



我想说您应该责怪扫描仪,而不是Cloudflare。

–卢卡·斯蒂布(Luca Steeb)
17年1月4日在16:00

除了漏洞扫描程序会带来误报外,另一个问题是对性能的影响,尽管它可以忽略不计,但是它存在并且不应该存在。

–雷·福斯(Ray Foss)
18年1月10日在19:19

#3 楼

禁用Cookie的步骤-php。我不能为此付出努力,这不是我的解决办法,但我很乐意传播财富。

function deleteSpecificCookies() {

    var cookies = document.cookie.split(";");
    var all_cookies = '';

    for (var i = 0; i < cookies.length; i++) {

        var cookie_name  = cookies[i].split("=")[0];
        var cookie_value = cookies[i].split("=")[1];

        if( cookie_name.trim() != '__utmb' ) {

            all_cookies = all_cookies + cookies[i] + ";";

        }

    }

    if(!document.__defineGetter__) {

        Object.defineProperty(document, 'cookie', {
            get: function(){return all_cookies; },
            set: function(){return true},
        });

    } else {

        document.__defineGetter__("cookie", function() { return all_cookies; } );
        document.__defineSetter__("cookie", function() { return true; } );

    }
}