Qu'est-ce qu'un cookie hôte seulement?

j'aimerais savoir ce qu'est un host only cookie.

en récupérant un form auth, le navigateur obtient dans les en-têtes un cookie JSESSIONID montré comme host only.

15
demandé sur jacktrades 2012-09-12 15:39:39

3 réponses

tout d'Abord, il n'est pas possible pour foo.com pour définir un cookie qui peut être lu par bar.com. Host-only ne protège example.com les cookies d'être lu par bar.example.com.

RFC 6265 concernant la configuration d'un cookie et son Domain l'attribut:

If the domain-attribute is non-empty:

  If the canonicalized request-host does not domain-match the domain-attribute:

    Ignore the cookie entirely and abort these steps.

  Otherwise:

    Set the cookie's host-only-flag to false.

    Set the cookie's domain to the domain-attribute.

Otherwise:

  Set the cookie's host-only-flag to true.

  Set the cookie's domain to the canonicalized request-host.

ce Que cela signifie

ce qui précède peut être résumé par "Host-only is the default". C'est, si Domain n'est pas spécifié, le cookie ne peut être lu que par le exact domaine qui a défini le cookie. Cela peut être desserré en mettant le Domain attribut lors de la configuration d'un cookie.

Par exemple, si le cookie est défini par www.example.com et Domain l'attribut n'est pas spécifié, le cookie sera mis de domaine www.example.com et le cookie sera un hôte seul cookie.

un Autre exemple: Si le cookie est défini par www.example.com et Domain l'attribut est spécifié sous la forme example.com (si le cookie sera envoyé à foo.example.com trop), le cookie sera set de domaine example.com (ou .example.com par certains navigateurs qui utilisent le dot de la précédente RFC 2109 pour désigner pas de l'hôte uniquement) et le cookie être un cookie hôte seulement.

L'envoi de cookies est couvert dans la section 5.4 concernant le moment où l'en-tête de cookie est envoyé par le navigateur:

         The cookie's host-only-flag is true and the canonicalized
         request-host is identical to the cookie's domain.
      Or:
         The cookie's host-only-flag is false and the canonicalized
         request-host domain-matches the cookie's domain.

donc un cookie avec Domaine foo.example.com et host-only en tant que faux est envoyé à example.com . Si host-only est vrai, le foo.example.comfoo.example.com une seule.

31
répondu SilverlightFox 2015-12-07 10:17:14

Accueillir Uniquement les cookies implique que le cookie doit être gérées par le navigateur au serveur sur le même hôte/serveur tout d'abord envoyé au navigateur.

vous ne voulez pas envoyer ce cookie hôte uniquement pour les campagnes publicitaires, car il pourrait contenir des informations sensibles.

5
répondu jacktrades 2012-12-18 18:43:51

l'option host-only-flag du cookie est true et la requête-host canonisée est identique au domaine du cookie.

http://tools.ietf.org/html/rfc6265#section-5.4

1
répondu Suriya 2012-09-12 11:44:55