L'appel à HttpServletResponse.addCookie () avec le même nom de cookie est-il sécurisé?
Appelle
HttpServletResponse.addCookie();
(à partir de servlet-api-2.5) plusieurs fois à l'aide d'un cookie avec le même nom de la sécurité?
Sûr dans le sens qu'il y a un comportement déterministe, par exemple, les appels suivants seront ignorés (le premier qui gagne) ou les appels suivants seront toujours remplacer le cookie ou quelque chose comme ça?
Exemple:
HttpServletResponse response = ...;
response.addCookie(new Cookie("foo", "bar"));
response.addCookie(new Cookie("foo", "42"));
Dont la valeur va être transférées et stockées par le navigateur?
source d'informationauteur tbk
Vous devez vous connecter pour publier un commentaire.
Mise à jour de réponse - que les commentaires de @skaffman et @Stephen C montrent ce n'est pas l'idéal pratique.
La RFC Spec http://www.ietf.org/rfc/rfc2109.txt états
Sur serveur Tomcat, le comportement est le réel en-têtes envoyés au navigateur:
Ici foo est écrasée. La lecture du cookie plus tard vous donne 42.
De commentaires supplémentaires - notez que la définition de différents sous-domaines sur les cookies avec le même nom dans la même réponse modifie le comportement. Je viens de tester à l'enregistrement des cookies avec le même nom mais des sous-domaines différents sur les dernières versions de java 1.6/firefox/safari/chrome sur mon mac, et il s'est comporté comme prévu, un gain de cookies. Je comprends que ce comportement n'est pas garanti par la spec, mais juste sayin' il peut être utile d'être au courant de cela.