84669 人学习
152542 人学习
20005 人学习
5487 人学习
7821 人学习
359900 人学习
3350 人学习
180660 人学习
48569 人学习
18603 人学习
40936 人学习
1549 人学习
1183 人学习
32909 人学习
我在一台机器上运行了两个HTTP服务。我只想知道它们是否共享它们的cookies,或者浏览器是否区分这两个服务器套接字。
根据RFC29653.3.1(可能或可能不会被浏览器遵循),除非通过Set-Cookie头的port参数明确指定端口,否则cookie可能或可能不会发送到任何端口。
Set-Cookie
port
谷歌的浏览器安全手册表示:默认情况下,cookie的范围仅限于当前主机名上的所有URL,而不绑定到端口或协议信息。稍后的几行中,没有办法将cookie限制为仅限于单个DNS名称[...]同样,没有办法将其限制为特定端口。(此外,请记住,IE根本不将端口号考虑在其同源策略中。)
因此,在这里依赖任何明确定义的行为似乎是不安全的。
当前的cookie规范是RFC 6265,它取代了RFC 2109和RFC 2965(这两个RFC现在被标记为“历史”),并规范了cookie的实际用法的语法。它明确指出:
还有:
根据RFC29653.3.1(可能或可能不会被浏览器遵循),除非通过
Set-Cookie头的port参数明确指定端口,否则cookie可能或可能不会发送到任何端口。谷歌的浏览器安全手册表示:默认情况下,cookie的范围仅限于当前主机名上的所有URL,而不绑定到端口或协议信息。稍后的几行中,没有办法将cookie限制为仅限于单个DNS名称[...]同样,没有办法将其限制为特定端口。(此外,请记住,IE根本不将端口号考虑在其同源策略中。)
因此,在这里依赖任何明确定义的行为似乎是不安全的。
当前的cookie规范是RFC 6265,它取代了RFC 2109和RFC 2965(这两个RFC现在被标记为“历史”),并规范了cookie的实际用法的语法。它明确指出:
还有: