问题[cookies](server)

我正在尝试设置以下传递架构：

• (A) Keycloak 作为 AD 上的用户联盟
• (B) Keycloak 作为 Keycloak (A) 的经纪人
• (C) Keycloak 作为 Keycloak 的经纪人 (B) 连接到某些服务提供商

     ----       -----       -----       -----
    | AD | <-- | (A) | <-- | (B) | <-- | (C) |
     ----       -----       -----       -----

我所遇到的情况：当我尝试连接到 Keycloak (C) 时，出现丢失 cookie 异常。

与Keycloak(A)和Keycloak(B)连接成功。

我想要的是：成功连接到 Keycloak (C)。

你知道这是否可以实现吗？如果是这样，我该如何修复它？

我有一个由自定义软件和 HTTP 服务器组成的系统。该软件将发送一些带有一些标头的请求，HTTP 服务器将发送回响应。

现在我有一些服务器将发送到软件的自定义身份验证相关标头，软件将保留这些标头并在每个额外的请求中将它们发送回以绕过身份验证过程。

根据我的理解，这应该使用 cookie 来完成。然而，在定制软件开发中，添加普通标头很容易，而添加 cookie 则更难实现，并且基于测试，使用普通标头在功能上也能正常工作。

我想知道的是，是否有任何安全原因和/或其他原因应该使用 cookie 而不是普通的 HTTP 自定义标头？

我试图弄清楚当向身份提供者（带有证书身份验证的 SAML）进行身份验证时，Google CHrome 从哪里获取我的身份我尝试过的内容：

删除所有 cookie、保存的密码、缓存文件

从我的个人商店中删除我的个人证书（我使用的证书））

在 Firefox 上，如果我刷新页面，这足以让 IDP 注销我并再次提示我输入证书，但在 Chrome 上，它只会让我重新登录！

在 chrome://password-manager-internals/ 上，我可以看到加载密码的过程（我不知道是哪个密码，因为我输入的唯一密码是解密我删除的用户证书的密码！）：

Message: PasswordAutofillAgent::DidStartProvisionalLoad
PasswordManager::DidNavigateMainFrame: false
The new state of the UI: 0
Message: PasswordAutofillAgent::SendPasswordForms
only_visible: false
Security origin: https://ADFS-IDP/
Number of all forms: 1
Message: PasswordAutofillAgent::SendPasswordForms
only_visible: true
Security origin: https://ADFS-IDP/
Number of all forms: 1
Form found on page: {
    Action : https://ADFS-IDP/ ,
    Form name or ID :
}
Form is visible: false
Some control elements not associated to a form element are visible: false
Message: PasswordManager::CreatePendingLoginManagers
Message: PasswordManager::OnPasswordFormsRendered
Message: PasswordManager::IsAutomaticSavePromptAvailable
Message: No provisional save manager
HTML form for submit: {
    Action : https://ADFS-IDP/ ,
    Form name or ID :
}

我的问题是：Chrome 从哪里获得我的身份，而 Firefox 没有？我猜 Chrome 有许多基于 Windows 的身份验证功能，因为在 Edge 浏览器上也会发生同样的事情，请问有什么想法吗？

我试图弄清楚如何在 NGINX 的upstream负载平衡指令中执行一些 if-else 逻辑。基本上，我想使用以下方法：

hash $cookie_my_cookie_name consistent;

...如果cookie ( my_cookie_name) 存在。如果该cookie不存在，那么我希望上游选择方法回退到内置：

ip_hash;

我无法在 NGINX 的文档中的任何地方找到有关如何“尝试”一种上游选择方法的示例，如果这种方法不起作用，请选择另一种方法。

我担心但担心的情况是，如果 cookie 不存在，则$cookie_my_cookie_name变量（至少在日志中）插入到-，这是一个字符串，但总是会散列到同一个上游服务器，这正是我不想要。（因此测试需要针对不存在 cookie，如果存在，将始终保持“好”值。）

有任何想法吗？

我有一个页面，它根据 URL 发送类似语言的“Set-Cookie”标头。问题是这个页面会获得相当高的命中率，但现在还不能去掉“Set-Cookie”标题以便 Varnish 4 缓存它。

该文档仅显示如何unset beresp.http.set-cookie或我可以将 cookie 添加到带有hash_data(req.http.cookie). 据我所知，将 cookie 添加到哈希仅适用于请求 Cookie，而不适用于后端设置的 cookie。

我很确定vmod_header可能是解决方案的一部分，但我将如何使用它来缓存我匹配的 cookieberesp.http.Set-Cookie == "language=en_us; path=/; domain=mydomain.tld"并缓存此响应？

我有两个在两个 Glassfish 实例中运行的应用程序，我将我的 apache 配置为sticky session像这样使用：

ProxyPass / balancer://Appcluster/ stickysession=JSESSIONID

但这不是 100% 正确的，当客户端从 App1 转到 App2 时，它会更改一些实例。

我在导航器中检查了 cookie，它向我显示了如下内容：

我在中找到了另一个配置web.xml，如下所示：

<session-config>
    <session-timeout>
        30
    </session-timeout>
    <cookie-config>
        <path>/</path>
    </cookie-config>
</session-config>

因此，当我像这样制作这条路径时，一切都可以正常工作，但是它会在这两个应用程序之间的每次导航时创建一个新的上下文。

现在我配置我的 Glassfish 并将 App1 设置为默认 Web 模块，这可以正常工作并且上下文是相同的，并且服务器会创建一个像这样的新 cookie：

但是当我尝试连接NO Default Web Module时，它​​使用了两个实例。

您能否提出正确的 Apache 和 Glassfish 配置以在集群环境中运行多个应用程序？

编辑

我通知了一些事情，所以当客户端从 App1 到 App2 和 VS 时，每次它都会创建一个这样的新 cookie：

+-------+----------------------------------------+
| APP   | Cookie                                 |
+-------+----------------------------------------+-----+
| app1  | b5a1cd4befdc306f6e569d835b5e.instance2 | New |              
+-------+----------------------------------------+-----+
| app2  | b6caf890638a506216d625f7c82b.instance2 | New |                                  
+-------+----------------------------------------+-----+
| app1  | b6d1870ad8f3d044cc768b31e810.instance2 | New |                                   
+-------+----------------------------------------+-----+
| app2  | b6d84bf7b2a6fc37e3c9ffaf701b.instance2 | New |
+-------+----------------------------------------+-----+
| app2  | b6d84bf7b2a6fc37e3c9ffaf701b.instance2 |Same | because i don't change the application
+-------+----------------------------------------+-----+    

• 为什么每次都会创建一个新的cookie？
• 如何修复每个应用程序并使其独一无二？

我在单个 VPS（Debian Jessie，Apache 2.4）上托管了多个站点。其中一个站点强制使用 HTTPS。在这个并且只有这个站点上，我想为 cookie 设置“安全标志”。我找到了大量资源来解释如何通过文件对服务器上托管的所有apache2.conf站点执行此操作，如下所示：

LoadModule headers_module /usr/lib/apache2/modules/mod_headers.so
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure

但我希望 Apache仅将此标头重写应用于一个 HTTPS 站点。我怎么做？

我看到在我们的服务器上生成的 cookie 似乎来自站点中的第 3 方对象，并且在登录或浏览站点时不会显示自己。

cookie 是随机的，但都以 Wm 开头。所以其中一些可能是 wm_cm_12345-12345-12345-12345，其中一些可能是 wm-wtchd-22。我在想，如果他们是 Wm*，也许我可以让他们不警觉。

如何将 Wm 开头的 cookie 列入白名单？

以及您可能想要包含的任何其他想法，我如何将这些想法列入白名单？

谢谢

一个示例 cookie

TX:981243-Detects classic SQL injection probings 2/2-OWASP_CRS/WEB_ATTACK/SQLI-REQUEST_COOKIES:wm_rx_123456eabcdef7890_0edb4989-1523-ff12-ccab-beddddaaffccc. [file "/etc/httpd/modsecurity.d/activated_rules/modsecurity_crs_49_inbound_blocking.conf"] [line "26"] [id "981176"] [msg "Inbound Anomaly Score Exceeded (Total Score: 41, SQLi=9, XSS=): Last Matched Message: 981243-Detects classic SQL injection probings 2/2"] [data "Last Matched Data: \\x22:61"] [hostname "Somefoowebsite.com"] [uri "/images/nyancat.jpg"] 

我所看到的另一个例子：

[30/Nov/2015:13:54:27 --0700] [bumblebeetune.com/sid#7fee134ee758][rid#7fee13b510d8][/nyancat.foo][2] Warning. Pattern match "(.*)" at TX:981243-Detects classic SQL injection probings 2/2-OWASP_CRS/WEB_ATTACK/SQLI-REQUEST_COOKIES:[30/Nov/2015:13:54:27 --0700] [bumblebeetuna.com/sid#7fee134ee758][rid#7fee13b510d8][/nyancat.foo][2] Warning. Pattern match "(.*)" at TX:981243-Detects classic SQL injection probings 2/2-OWASP_CRS/WEB_ATTACK/SQLI-REQUEST_COOKIES:wm_ct_877bb6e0e4744fd6a270f70f3e0c8a67_d464ab47-3cf0-fe3f-89d5-bd785f7bdcfa. [file "/etc/httpd/modsecurity.d/activated_rules/modsecurity_crs_49_inbound_blocking.conf"] [line "26"] [id "981176"] [msg "Inbound Anomaly Score Exceeded (Total Score: 18, SQLi=4, XSS=): Last Matched Message: 981243-Detects classic SQL injection probings 2/2"] [data "Last Matched Data: \x22:61"]. [file "/etc/httpd/modsecurity.d/activated_rules/modsecurity_crs_49_inbound_blocking.conf"] [line "26"] [id "981176"] [msg "Inbound Anomaly Score Exceeded (Total Score: 18, SQLi=4, XSS=): Last Matched Message: 981243-Detects classic SQL injection probings 2/2"] [data "Last Matched Data: \x22:61"]

我们在日志中发现了一个不寻常的 cookie：

PRUM_EPISODES=s=1379338025465&r=http%3A//www.example.com/demo.html 

我认为它是我们网站上的第 3 方控件，它创建了这个。有谁知道是哪一个？

我正在运行 Exchange 2007 SP3，它仅通过 HTTPS 公开 outlook web 访问。然而，服务器在没有设置标志的情况下传送sessionidcookie 。secure即使我没有打开 80 端口，这个 cookie 仍然容易在发生中间人攻击时通过 80 端口被盗。它还会导致 PCI-DSS 故障

有谁知道我是否可以说服 Web 服务器/应用程序设置安全标志？