【发布时间】:2019-05-19 18:12:45
【问题描述】:
我有一个与Share cookie between subdomain and domain 相关的问题 - 如果我在将 cookie 设置为 .com 的同时设置域会发生什么?所有 .com 网站都可以使用 cookie 吗?
【问题讨论】:
【发布时间】:2019-05-19 18:12:45
【问题描述】:
配置良好的用户代理应拒绝此类 cookie,如 RFC 6265 section 5.3 中所述:
- 如果用户代理配置为拒绝“公共后缀”并且域属性是公共后缀:
如果域属性与规范化的请求主机相同:
- 让域属性为空字符串。
否则:
- 完全忽略 cookie 并中止这些步骤。
注意:“公共后缀”是由 公共注册表,例如“com”、“co.uk”和“pvt.k12.wy.us”。 此步骤对于防止攻击者.com 通过设置 cookie 破坏 example.com 的完整性 域属性为“com”。不幸的是,这组 公共后缀(也称为“注册表控制域”) 随着时间的推移而变化。如果可行,用户代理应该使用 最新的公共后缀列表,例如由 Mozilla 项目http://publicsuffix.org/。
【讨论】:
-
Let the domain-attribute be the empty string.是什么意思?如果域属性为空,会发生什么?