从Cloudflare禁用__cfduid cookie

是否存在与__cfduid会话cookie 的创建相对应的Cloudflare设置？

我目前正在尝试CF；主要用于整洁的DNS管理和隐式CDN。但是，基本的WAF可能与Apaches mod_security / CRS之上的附加功能一样好。但是我不确定cookie的目的是什么，并且希望摆脱它。

最明显的设置

安全配置文件：基本上关闭

似乎对__cfduid每个HTTP响应的创建也基本上没有影响。Cookies的目的大概是为了使单个用户退出防火墙规则，重复的cloudflare验证码等。

他们的支持文档暗示了这一点。从09/2012（https://support.cloudflare.com/hc/en-us/articles/200169536-What-does-the-cfduid-cookie-do-）的第一个修订版说这种行为永远不可能关闭。但是，两个月后的条目11/2012（https://support.cloudflare.com/hc/en-us/articles/200170156-What-does-the-CloudFlare-cfduid-cookie-do-）却忽略了这一点。

虽然Cloudflares TOS本身签出是合理的，但该cookie具有跟踪会话的所有属性dc41f5a78bc3e27d44b70fca4606e4262283407700773。对于示例性的网吧访客用例来说，超过6年的cookie使用寿命非常奇怪。而且由于我本人避免不必要的会话，并且不想像其他所有人一样贴上隐私说明（根据臭名昭著的欧盟Cookie法），因此我希望默认情况下不使用它。

解决方法如下：

  Header add Set-Cookie "__cfduid= ; path=/; domain=.example.org; HttpOnly"

确实避开了它的存储，但是保留了两个不必要的头，并且看起来也不是太可靠。

那么，还有其他CF设置吗？

cookie cloudflare

— 马里奥
source

除了会哄东西像这样，唯一可用的解决方法是代理连接，它命中客户端之前剥离饼干。

— 同步

Answers:

不，如果我们要代理记录，则无法关闭Cookie（如果您的子域名在DNS设置中未通过代理运行，那么我们就不会添加Cookie，因为它将直接发送到您的服务器）。Cookie基本上是使安全性（例如挑战页面）起作用的原因。

— damoncloudflare
source

“进行安全工作”仍然具有很大的描述性。它如何针对例如通常不会发送会话cookie的机器人的安全性提供帮助？如果仅用于CAPTCHAS，那么过量的cookie到期时间是什么？

— 马里奥

我怀疑这是为了确定谁是可信任的，而不是谁是不受信任的。如果没有会话cookie，则处于最低信任状态。如果您拥有会话cookie，那么您可以不受信任或受信任，也可以介于两者之间。因此，不发送会话cookie意味着WAF将以更加敌对的方式对待您，而不是更少。随之而来的是，它有一个“过多的” cookie过期时间，以防止将来不必要地困扰或节制您。

— Rushyo 2015年

事实证明，cloudflare托管了许多我经常浏览的东西（api文档，开源项目），这些东西现在对我来说都没有用。不会。我不会在与cloudflare无关的域上启用随机会话Cookie注入（例如jqueryui.com，expressjs.com）。__cfduid违反互联网标准。这是不对的。

— Martin Algesten

这个Cookie有什么问题？您正在使用他们的服务，并希望从他们的服务和安全中受益–根据Cloudflare的说法，此cookie尤其出于安全原因而有所帮助。无论如何，这种类型的cookie不受cookie法律消息的约束：

但是，某些cookie不受此要求限制。如果Cookie为以下内容，则无需同意：

·仅用于进行通信传输的目的，并且

·为了使用户明确要求信息社会服务的提供者提供服务，这是绝对必要的。

此Cloudflare cookie绝对不受cookie法律的约束。

— 卢卡·斯蒂布（Luca Steeb）
source

“出于安全原因”正是引发这一问题的一厢情愿的解释。现在用什么？禁用 “安全性”功能后，为什么它仍然存在？为什么寿命长达6年？对此的法律意见大多是正交的。

— mario's

恐怕任何人都无法回答有关安全性的问题，即使Cloudflare员工（我假设damoncloudfare是其中之一），无论出于何种原因也无法告诉您。

— 卡·斯蒂布

这是该cookie的一个问题：它会触发vuln / PCI扫描仪中的各种误报。例如，即使不存在phprpc，Saintbot / Controlscan也会看到带有cookie的会话会话var的响应并将其标记为phprpc vuln。令人讨厌的是，由于这个简单的cookie，我们经常使计划的PCI扫描失败。当然是供应商的错，但是经过20份左右的证明+票证，并对其进行叫喊之后，他们仍然没有修复扫描过滤器。由于修复失败，此CF cookie在误报的前提下导致PCI失败（仍然失败）。

— dhaupin

我会说，你应该责怪扫描仪，不CloudFlare的..

— 卢卡Steeb

除了漏洞扫描程序会带来误报外，另一个问题是对性能的影响，尽管它可以忽略不计，但它存在并且不应该。

— 雷·福斯

禁用Cookie的步骤-php。我不能为此感到自豪，这不是我的解决办法，而是我很乐意传播财富。

function deleteSpecificCookies() {

    var cookies = document.cookie.split(";");
    var all_cookies = '';

    for (var i = 0; i < cookies.length; i++) {

        var cookie_name  = cookies[i].split("=")[0];
        var cookie_value = cookies[i].split("=")[1];

        if( cookie_name.trim() != '__utmb' ) {

            all_cookies = all_cookies + cookies[i] + ";";

        }

    }

    if(!document.__defineGetter__) {

        Object.defineProperty(document, 'cookie', {
            get: function(){return all_cookies; },
            set: function(){return true},
        });

    } else {

        document.__defineGetter__("cookie", function() { return all_cookies; } );
        document.__defineSetter__("cookie", function() { return true; } );

    }
}

— 阿尔菲
source