Qu'est-ce qu'un cookie hôte uniquement?

Je voudrais savoir qu'est ce qu'un host only cookie.

Lors de la récupération d'un form authle navigateur se dans les en-têtes d'un cookie JSESSIONID montré que host only.

source d'informationauteur jacktrades

  1. 28

    Tout d'abord, il n'est pas possible pour foo.com de définir un cookie qui peut être lu par bar.com. Host-only ne protège example.com les cookies d'être lu par bar.example.com.

    De RFC 6265 concernant la définition d'un cookie et sa Domain attribut:

    If the domain-attribute is non-empty:

  If the canonicalized request-host does not domain-match the domain-attribute:

    Ignore the cookie entirely and abort these steps.

  Otherwise:

    Set the cookie's host-only-flag to false.

    Set the cookie's domain to the domain-attribute.

Otherwise:

  Set the cookie's host-only-flag to true.

  Set the cookie's domain to the canonicalized request-host.

    Ce que cela signifie

    Ci-dessus peut se résumer par "Host-only est la valeur par défaut". C'est, si Domain n'est pas spécifié, le cookie ne peut être lu que par le domaine exact, qui a créé le cookie. Ce peut être défait par la définition de la Domain attribut lors de la définition d'un cookie.

    Par exemple, si le cookie est défini par www.example.com et la Domain attribut n'est pas spécifié, le cookie sera défini avec le domaine www.example.com et le cookie sera un hôte uniquement cookie.

    Un autre exemple: Si le cookie est défini par www.example.com et la Domain attribut est spécifié comme example.com (donc le cookie sera envoyé à foo.example.com trop), le cookie sera défini avec le domaine example.com (ou peut-être .example.com par certains navigateurs qui utilisent le dot de la précédente RFC 2109 pour désigner pas de l'hôte uniquement) et le cookie sera pas être un hôte uniquement cookie.

    L'envoi de cookies est couvert dans la section 5.4 concernant le moment de l'en-tête de cookie est envoyé par le navigateur:

             The cookie's host-only-flag is true and the canonicalized
         request-host is identical to the cookie's domain.
      Or:
         The cookie's host-only-flag is false and the canonicalized
         request-host domain-matches the cookie's domain.

    Donc un cookie de domaine foo.example.com et host-only comme faux est envoyé à example.com . Si host-only est vrai, la foo.example.com est envoyé à foo.example.com seulement.

  2. 5

    Hôte Uniquement les cookies implique que le cookie doit être gérées par le navigateur au serveur seulement le même hôte/serveur tout d'abord envoyé au navigateur.

    Vous ne souhaitez pas envoyer de cet hôte uniquement cookie pour les campagnes publicitaires, car il pourrait contenir des informations sensibles.

  3. 1

    Du cookie de l'hôte uniquement-drapeau est vrai et le canoniser demande de l'hôte est identique pour le domaine du cookie.

    http://tools.ietf.org/html/rfc6265#section-5.4