L'appel à HttpServletResponse.addCookie () avec le même nom de cookie est-il sécurisé?

Appelle

HttpServletResponse.addCookie();

(à partir de servlet-api-2.5) plusieurs fois à l'aide d'un cookie avec le même nom de la sécurité?

Sûr dans le sens qu'il y a un comportement déterministe, par exemple, les appels suivants seront ignorés (le premier qui gagne) ou les appels suivants seront toujours remplacer le cookie ou quelque chose comme ça?

Exemple:

HttpServletResponse response = ...;
response.addCookie(new Cookie("foo", "bar"));
response.addCookie(new Cookie("foo", "42"));

Dont la valeur va être transférées et stockées par le navigateur?

source d'informationauteur tbk

  1. 6

    Mise à jour de réponse - que les commentaires de @skaffman et @Stephen C montrent ce n'est pas l'idéal pratique.

    La RFC Spec http://www.ietf.org/rfc/rfc2109.txt états

    Le NOM=VALEUR paire attribut-valeur
    doit venir en premier dans chaque biscuit. Si un attribut s'affiche
    plus d'une fois dans un cookie, l'
    le comportement est indéfini.

    Sur serveur Tomcat, le comportement est le réel en-têtes envoyés au navigateur:

    Set-Cookie: foo=bar

    Set-Cookie: foo=42

    Ici foo est écrasée. La lecture du cookie plus tard vous donne 42.

  2. 2

    De commentaires supplémentaires - notez que la définition de différents sous-domaines sur les cookies avec le même nom dans la même réponse modifie le comportement. Je viens de tester à l'enregistrement des cookies avec le même nom mais des sous-domaines différents sur les dernières versions de java 1.6/firefox/safari/chrome sur mon mac, et il s'est comporté comme prévu, un gain de cookies. Je comprends que ce comportement n'est pas garanti par la spec, mais juste sayin' il peut être utile d'être au courant de cela.