Что такое cookie только для хоста?
Я хотел бы знать, что такое host only печенье.
При получении form authбраузер получает в заголовках файл cookie JSESSIONID, показанный как host only,
3 ответа
Cookie только для хоста означает, что cookie должен обрабатываться браузером на сервере только на том же хосте / сервере, который первым отправил его в браузер.
Вы не хотите отправлять файлы cookie этого хоста только для рекламных кампаний, поскольку они могут содержать конфиденциальную информацию.
Прежде всего, это невозможно foo.com установить куки, которые могут быть прочитаны bar.com, Host-only только защищает example.com куки от чтения bar.example.com,
Из RFC 6265 относительно установки cookie и его Domain атрибут:
If the domain-attribute is non-empty: If the canonicalized request-host does not domain-match the domain-attribute: Ignore the cookie entirely and abort these steps. Otherwise: Set the cookie's host-only-flag to false. Set the cookie's domain to the domain-attribute. Otherwise: Set the cookie's host-only-flag to true. Set the cookie's domain to the canonicalized request-host.
Что это значит
Вышесказанное можно суммировать как "Только для хоста по умолчанию". То есть если Domain не указан, cookie может быть прочитан только тем доменом, который установил cookie. Это можно ослабить, установив Domain атрибут при установке куки.
Например, если файл cookie установлен www.example.com и Domain атрибут не указан, cookie будет установлен с доменом www.example.com и cookie будет только файлом cookie хоста.
Другой пример: если cookie установлен www.example.com и Domain атрибут указан как example.com (поэтому файл cookie будет отправлен foo.example.com тоже), cookie будет установлен с доменом example.com (или возможно .example.com некоторые браузеры, которые используют точку из предыдущего RFC 2109 для обозначения не только для хоста), и cookie не будут cookie только для хоста.
Отправка файлов cookie описана в разделе 5.4, когда браузер отправляет заголовок файла cookie:
The cookie's host-only-flag is true and the canonicalized request-host is identical to the cookie's domain. Or: The cookie's host-only-flag is false and the canonicalized request-host domain-matches the cookie's domain.
Итак, куки с доменом foo.example.com а также host-only как ложное отправляется example.com, Если host-only верно, foo.example.com отправлено foo.example.com только.
Флаг "только для хоста" cookie имеет значение "истина", и канонизированный запрос-хост идентичен домену cookie.