Qu'est-ce qu'un cookie hôte uniquement?
Je voudrais savoir qu'est ce qu'un host only
cookie.
Lors de la récupération d'un form auth
le navigateur se dans les en-têtes d'un cookie JSESSIONID montré que host only
.
source d'informationauteur jacktrades
Vous devez vous connecter pour publier un commentaire.
Tout d'abord, il n'est pas possible pour
foo.com
de définir un cookie qui peut être lu parbar.com
.Host-only
ne protègeexample.com
les cookies d'être lu parbar.example.com
.De RFC 6265 concernant la définition d'un cookie et sa
Domain
attribut:Ce que cela signifie
Ci-dessus peut se résumer par "Host-only est la valeur par défaut". C'est, si
Domain
n'est pas spécifié, le cookie ne peut être lu que par le domaine exact, qui a créé le cookie. Ce peut être défait par la définition de laDomain
attribut lors de la définition d'un cookie.Par exemple, si le cookie est défini par
www.example.com
et laDomain
attribut n'est pas spécifié, le cookie sera défini avec le domainewww.example.com
et le cookie sera un hôte uniquement cookie.Un autre exemple: Si le cookie est défini par
www.example.com
et laDomain
attribut est spécifié commeexample.com
(donc le cookie sera envoyé àfoo.example.com
trop), le cookie sera défini avec le domaineexample.com
(ou peut-être.example.com
par certains navigateurs qui utilisent le dot de la précédente RFC 2109 pour désigner pas de l'hôte uniquement) et le cookie sera pas être un hôte uniquement cookie.L'envoi de cookies est couvert dans la section 5.4 concernant le moment de l'en-tête de cookie est envoyé par le navigateur:
Donc un cookie de domaine
foo.example.com
ethost-only
comme faux est envoyé àexample.com
. Sihost-only
est vrai, lafoo.example.com
est envoyé àfoo.example.com
seulement.Hôte Uniquement les cookies implique que le cookie doit être gérées par le navigateur au serveur seulement le même hôte/serveur tout d'abord envoyé au navigateur.
Vous ne souhaitez pas envoyer de cet hôte uniquement cookie pour les campagnes publicitaires, car il pourrait contenir des informations sensibles.
Du cookie de l'hôte uniquement-drapeau est vrai et le canoniser demande de l'hôte est identique pour le domaine du cookie.
http://tools.ietf.org/html/rfc6265#section-5.4