host onlyクッキーとは何か知りたいです。
を取得している間form auth、ブラウザはヘッダーで JSESSIONID Cookie を取得しhost onlyます。
質問する
50506 次
3 に答える
83
まず、foo.comが読み取れる Cookie を設定することはできませんbar.com。による Cookie の読み取りHost-onlyのみを保護します。example.combar.example.com
Cookie とその属性の設定に関するRFC 6265から:Domain
If the domain-attribute is non-empty: If the canonicalized request-host does not domain-match the domain-attribute: Ignore the cookie entirely and abort these steps. Otherwise: Set the cookie's host-only-flag to false. Set the cookie's domain to the domain-attribute. Otherwise: Set the cookie's host-only-flag to true. Set the cookie's domain to the canonicalized request-host.
これが意味すること
上記は、「ホストのみがデフォルトです」と要約できます。つまり、Domainが指定されていない場合、Cookie を設定した正確なドメインのみが Cookie を読み取ることができます。Domainこれは、Cookie を設定するときに属性を設定することで緩和できます。
たとえば、Cookie が by によって設定されwww.example.com、Domain属性が指定されていない場合、Cookie はドメインで設定されwww.example.com、Cookie はホストのみの Cookie になります。
別の例: Cookie が設定されwww.example.com、Domain属性が指定されている場合example.com(したがって、Cookie も送信されfoo.example.comます)、Cookie はドメインで設定されますexample.com(または、以前のRFC 2109の.example.comドットを使用してホストオンリーではありません)、Cookie はホストのみの Cookie ではありません。
Cookie の送信については、Cookie ヘッダーがブラウザーによって送信されるタイミングに関して、セクション 5.4 で説明されています。
The cookie's host-only-flag is true and the canonicalized
request-host is identical to the cookie's domain.
Or:
The cookie's host-only-flag is false and the canonicalized
request-host domain-matches the cookie's domain.
example.comそのため、ドメインがhost-onlyfalseの Cookieが に送信されfoo.example.comます。host-only が true の場合、example.comCookie はのみに送信されexample.comます。
于 2015-02-04T11:24:51.257 に答える
14
ホスト オンリー Cookie とは、最初に Cookie をブラウザーに送信したのと同じホスト/サーバーに対してのみ、ブラウザーが Cookie をサーバーに処理する必要があることを意味します。
機密情報が含まれている可能性があるため、このホストのみの Cookie を広告キャンペーンに送信することは望ましくありません。
于 2012-12-18T18:43:51.160 に答える
1
Cookie の host-only-flag が true であり、正規化された request-host が Cookie のドメインと同一です。
于 2012-09-12T11:44:55.757 に答える