Herokuにデプロイするアプリを開発しています。このアプリはiframe
別のサイトでのみ使用されているので、ドメイン名は気にしません。example.herokuapp.com
でカスタムドメインを使用する代わりに、にアプリをデプロイする予定ですexample.com
。
私のアプリはCookieを使用していますが、セッション固定や同様の攻撃からアプリを保護するために、他の人が私のCookieを操作できないようにしたいと思います。attacker.herokuapp.com
のCookieを設定できる場合、はパブリックサフィックスではないためherokuapp.com
、ブラウザは私を保護できません。この問題の詳細な説明については、http://w2spconf.com/2011/papers/session-integrity.pdfを参照してください。herokuapp.com
私の質問は、ブラウザがユーザーを保護できない場合、HerokuはCookieをブロックすることで保護しherokuapp.com
ますか?