Qu'est-ce qu'un cookie hôte seulement?
j'aimerais savoir ce qu'est un host only
cookie.
en récupérant un form auth
, le navigateur obtient dans les en-têtes un cookie JSESSIONID montré comme host only
.
3 réponses
tout d'Abord, il n'est pas possible pour foo.com
pour définir un cookie qui peut être lu par bar.com
. Host-only
ne protège example.com
les cookies d'être lu par bar.example.com
.
RFC 6265 concernant la configuration d'un cookie et son Domain
l'attribut:
If the domain-attribute is non-empty: If the canonicalized request-host does not domain-match the domain-attribute: Ignore the cookie entirely and abort these steps. Otherwise: Set the cookie's host-only-flag to false. Set the cookie's domain to the domain-attribute. Otherwise: Set the cookie's host-only-flag to true. Set the cookie's domain to the canonicalized request-host.
ce Que cela signifie
ce qui précède peut être résumé par "Host-only is the default". C'est, si Domain
n'est pas spécifié, le cookie ne peut être lu que par le exact domaine qui a défini le cookie. Cela peut être desserré en mettant le Domain
attribut lors de la configuration d'un cookie.
Par exemple, si le cookie est défini par www.example.com
et Domain
l'attribut n'est pas spécifié, le cookie sera mis de domaine www.example.com
et le cookie sera un hôte seul cookie.
un Autre exemple: Si le cookie est défini par www.example.com
et Domain
l'attribut est spécifié sous la forme example.com
(si le cookie sera envoyé à foo.example.com
trop), le cookie sera set de domaine example.com
(ou .example.com
par certains navigateurs qui utilisent le dot de la précédente RFC 2109 pour désigner pas de l'hôte uniquement) et le cookie être un cookie hôte seulement.
L'envoi de cookies est couvert dans la section 5.4 concernant le moment où l'en-tête de cookie est envoyé par le navigateur:
The cookie's host-only-flag is true and the canonicalized request-host is identical to the cookie's domain. Or: The cookie's host-only-flag is false and the canonicalized request-host domain-matches the cookie's domain.
donc un cookie avec Domaine foo.example.com
et host-only
en tant que faux est envoyé à example.com
. Si host-only
est vrai, le foo.example.com
foo.example.com
une seule.
Accueillir Uniquement les cookies implique que le cookie doit être gérées par le navigateur au serveur sur le même hôte/serveur tout d'abord envoyé au navigateur.
vous ne voulez pas envoyer ce cookie hôte uniquement pour les campagnes publicitaires, car il pourrait contenir des informations sensibles.
l'option host-only-flag du cookie est true et la requête-host canonisée est identique au domaine du cookie.