Eu tenho um monte de scripts CGI, que são servidos usando HTTPS. Eles só podem ser acessados na intranet e não no exterior. Eles definem um cookie com o atributo 'Seguro', para que ele só possa ser enviado via HTTPS. Existe também um proxy reverso para um desses scripts, infelizmente usando HTTP simples. Quando uma resposta vem do meu script CGI com um cookie seguro, ela não está sendo transmitida via HTTP (afinal, é para isso que serve esse atributo). Eu preciso, no entanto, uma exceção a essa regra.
É possível usar mod_rewrite / mod_proxy ou algo semelhante, para alterar o cabeçalho Set-Cookie na resposta proveniente do meu script CGI e remover o Secure , de modo que o cookie possa ser passado de volta para o usuário usando a conexão HTTP insegura? Eu entendo que isso derrota o propósito do Secure em primeiro lugar, mas eu preciso disso como um trabalho temporário.
Eu pesquisei na Web e descobri como adicionar um Set-Cookie header usando mod_rewrite e também descobri como recuperar o valor de um cookie proveniente do cliente em um cookie header. O que eu ainda não encontrei é como extrair o cabeçalho Set-Cookie recebido na resposta de um script para o qual estou fazendo proxy. Isso é possível? Como eu faria isso?
NÃO FAÇA ISSO, isso pode ser uma grande falha de segurança
O seguinte funciona para mim:
<Location />
Header edit Set-Cookie "Secure;" ""
Order allow,deny
Allow from all
</Location>
Eu não testei como ele lida com vários cookies, então isso pode não funcionar.