Я хотел бы знать, что такое файл cookie host only
.
При получении form auth
браузер получает в заголовках файл cookie JSESSIONID, показанный как host only
.
Я хотел бы знать, что такое файл cookie host only
.
При получении form auth
браузер получает в заголовках файл cookie JSESSIONID, показанный как host only
.
Прежде всего, foo.com
не может установить файл cookie, который может быть прочитан bar.com
. Host-only
защищает только example.com
файлы cookie от чтения пользователем bar.example.com
.
Из RFC 6265 относительно настройки файла cookie и его атрибута Domain
:
If the domain-attribute is non-empty: If the canonicalized request-host does not domain-match the domain-attribute: Ignore the cookie entirely and abort these steps. Otherwise: Set the cookie's host-only-flag to false. Set the cookie's domain to the domain-attribute. Otherwise: Set the cookie's host-only-flag to true. Set the cookie's domain to the canonicalized request-host.
Вышеизложенное можно резюмировать тем, что по умолчанию используется только хост. То есть, если Domain
не указан, файл cookie может быть прочитан только тем доменом, который установил файл cookie. Это можно ослабить, установив атрибут Domain
при установке файла cookie.
Например, если файл cookie установлен www.example.com
, а атрибут Domain
не указан, файл cookie будет установлен с доменом www.example.com
, и файл cookie будет использоваться только для хоста.
Другой пример: если файл cookie установлен www.example.com
, а атрибут Domain
указан как example.com
(таким образом, файл cookie будет отправлен также на foo.example.com
), файл cookie будет установлен с доменом example.com
(или, возможно, .example.com
некоторыми браузерами, которые используют точку от предыдущий RFC 2109 для обозначения не только для хоста) и файл cookie не будет файлом cookie только хоста.
Отправка файлов cookie описана в разделе 5.4 относительно того, когда браузер отправляет заголовок файла cookie:
The cookie's host-only-flag is true and the canonicalized
request-host is identical to the cookie's domain.
Or:
The cookie's host-only-flag is false and the canonicalized
request-host domain-matches the cookie's domain.
Таким образом, файл cookie с доменом example.com
и host-only
как ложный отправляется на foo.example.com
. Если для host-only установлено значение true, файл cookie example.com
отправляется только example.com
.
example.com
и host-only
как false
отправляется на foo.example.com
. Если host-only
равно true
, example.com
отправляется только example.com
.
- person SkrewEverything; 13.09.2020
Файл cookie только для хоста означает, что файл cookie должен быть обработан браузером на сервере только на том же хосте/сервере, который сначала отправил его в браузер.
Вы не хотите отправлять этот файл cookie только для хоста для рекламных кампаний, так как он может содержать конфиденциальную информацию.
Флаг host-only-flag куки имеет значение true, а канонизированный хост-запрос идентичен домену куки.
http://tools.ietf.org/html/rfc6265#section-5.4