【HTTP 传输过程中的 cookie】

[1. 中间节点通常不会修改 Cookie 的原因](#1. 中间节点通常不会修改 Cookie 的原因)
[2. 可能修改 Cookie 的特定场景](#2. 可能修改 Cookie 的特定场景)
- [场景 1：WAF 的安全防护](#场景 1：WAF 的安全防护)
- [场景 2：反向代理的路径/域名重写](#场景 2：反向代理的路径/域名重写)
- [场景 3：CDN 的缓存优化](#场景 3：CDN 的缓存优化)
- [场景 4：流量监控/调试](#场景 4：流量监控/调试)
[3. 典型操作示例](#3. 典型操作示例)
[4. 如何验证 Cookie 是否被修改？](#4. 如何验证 Cookie 是否被修改？)
- [方法 1：对比原始请求与服务器接收的请求](#方法 1：对比原始请求与服务器接收的请求)
- [方法 2：使用端到端加密（HTTPS）](#方法 2：使用端到端加密（HTTPS）)
- [方法 3：检查 Cookie 签名/完整性](#方法 3：检查 Cookie 签名/完整性)
[5. 安全建议](#5. 安全建议)
总结

在请求经过 CDN、反向代理、WAF 等中间节点时，通常不会主动修改 Cookie，因为 Cookie 是应用层（业务逻辑）的核心会话标识，随意篡改可能导致服务异常。但根据中间节点的功能和安全策略，某些特定场景下可能对 Cookie 进行修改或操作。以下是详细分析：

以下情况中间节点可能修改或操作 Cookie：

拦截或清除恶意 Cookie：
如果 WAF 检测到 Cookie 中包含攻击载荷（如 SQL 注入、XSS 代码），可能：
- 删除整个 Cookie（直接拦截请求）。
- 过滤危险字符（如转义 < > 符号）。
- 添加标记（例如插入 WAF_Processed 标识）。

调整 Cookie 作用域：
当反向代理修改请求路径或域名时，可能重写 Cookie 的 Domain 或 Path 属性，例如：

http 复制代码

# 原始 Cookie
Set-Cookie: session=abc; Domain=backend.internal; Path=/api

# 反向代理重写后
Set-Cookie: session=abc; Domain=public.example.com; Path=/

添加缓存标识 Cookie：
部分 CDN 可能注入自定义 Cookie 来跟踪缓存状态（如 CDN-Cache=HIT），但通常不会修改业务 Cookie。

3. 典型操作示例

中间节点	可能操作	示例
WAF	清除恶意 Cookie 值	`Cookie: user=admin'-- → 被清空`
反向代理	重写 Cookie 的 Domain/Path	`Domain=internal → Domain=public-site`
CDN	添加缓存状态 Cookie	`Set-Cookie: CDN-Optimized=yes`
调试工具	注入临时跟踪 Cookie	`Cookie: TraceID=debug-123; session=abc`