背景:ETag 跟踪在此处得到了很好的解释,并且在Wikipedia上也有提及。
我在回复“如何防止 ETags 跟踪?”时写了一个答案。驱使我写下这个问题。
我有一个阻止 ETag 跟踪的浏览器端解决方案。它无需修改当前的 HTTP 协议即可工作。这是 ETag 跟踪的可行解决方案吗?
我们没有告诉服务器我们的 ETag ,而是向服务器询问它的 ETag,并将其与我们已有的进行比较。
伪代码:
If (file_not_in_cache)
{
page=http_get_request();
page.display();
page.put_in_cache();
}
else
{
page=load_from_cache();
client_etag=page.extract_etag();
server_etag=http_HEAD_request().extract_etag();
//Instead of saying "my etag is xyz",
//the client says: "what is YOUR etag, server?"
if (server_etag==client_etag)
{
page.display();
}
else
{
page.remove_from_cache();
page=http_get_request();
page.display();
page.put_in_cache();
}
}
我的解决方案的 HTTP 对话示例:
客户:
HEAD /posts/46328
host: security.stackexchange.com
服务器:
HTTP/1.1 200 OK
Date: Mon, 23 May 2005 22:38:34 GMT
Server: Apache/1.3.3.7 (Unix) (Red-Hat/Linux)
Last-Modified: Wed, 08 Jan 2003 23:11:55 GMT
ETag: "EVIl_UNIQUE_TRACKING_ETAG"
Content-Type: text/html
Content-Length: 131
案例1,客户端有一个相同的ETag:
Connection closes, client loads page from cache.
案例 2,客户端的 ETag 不匹配:
GET...... //and a normal http conversation begins.
需要修改 HTTP 规范的额外内容
将以下内容视为理论材料,HTTP 规范可能不会很快改变。
1. 去除 HEAD 开销
值得注意的是,开销很小,服务器必须发送两次 HTTP 标头:一次响应 HEAD,一次响应 GET。一个理论上的解决方法是修改 HTTP 协议并添加一种请求无标头内容的新方法。然后,如果 ETag 不匹配,客户端将仅请求 HEAD,然后仅请求内容。
2. 防止基于缓存的跟踪(或至少使其更难)
尽管 Sneftel 建议的解决方法不是 ETag 跟踪技术,但它确实可以跟踪人们,即使他们使用我建议的“HEAD, GET”序列。解决方案是限制 ETag 的可能值:ETag 必须是内容的校验和,而不是任何序列。客户端对此进行检查,如果校验和值与服务器发送的值不匹配,则不使用缓存。
旁注:修复 2 还将消除以下Evercookie跟踪技术:pngData、etagData、cacheData。将其与 Chrome 的“仅在我退出浏览器之前保留本地数据”相结合,消除了除 Flash 和 Silverlight cookie 之外的所有 evercookie 跟踪技术。