【问题标题】:How to stop sending cookies to Server with each request如何停止向服务器发送每个请求的 cookie
【发布时间】:2014-03-04 13:27:27
【问题描述】:

假设我有 >5KB 大小的 cookie,这是在客户端生成的机密数据,其他人无法看到该数据。

所以我试图限制该数据随请求一起发送。有什么方法可以告诉不要随请求发送此 cookie 吗??

根据cookies 规范

当它向源服务器发送请求时,如果用户代理存储了适用于该请求的 cookie,则用户代理会包含一个 Cookie 请求标头。

在规范中带来希望的是适用于请求的存储 cookie。

如何使它不适用于请求??

所以这不可能吗?有没有办法像我们设置http-only一样配置web.xml?

<session-config>
        <cookie-config>
        <http-only>true</http-only>
        </cookie-config>
    </session-config>

【问题讨论】:

    标签: java jakarta-ee cookies browser


    【解决方案1】:

    The limit 每个域的 cookie 大约是 4KB,您已经超过了。因此,您应该将所有机密信息放入会话表而不是 cookie。

    【讨论】:

    • 我知道限制,这就是请求无法进入服务器的原因。所以我计划限制它通过请求发送。感谢您提供有趣的链接 Will :)
    【解决方案2】:

    HTTP 规范规定,所有 cookie 数据都需要随每个请求一起发送,因为服务器可能需要它。如果您不希望这样,请不要将数据存储在 cookie 中,而是使用不同的方法来存储此敏感信息。

    这个敏感信息也很有可能最终出现在目标服务器的访问日志中,这是在这种情况下不使用 cookie 的另一个原因。

    【讨论】:

      猜你喜欢
      • 2017-06-04
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2015-09-29
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多