【问题标题】:Why do many sites name cookies with a leading underscore?为什么许多网站在命名 cookie 时使用前导下划线?
【发布时间】:2011-06-07 21:25:43
【问题描述】:

我注意到许多网站创建的 cookie 都以前导下划线命名。我还看到各种 Web 框架的默认设置类似。

cookie 名称中前导下划线的意义是什么?

这只是一种约定,还是有技术原因?

【问题讨论】:

  • 所以它们首先出现在目录列表中?
  • 这是一种将仅客户端 cookie 与服务器端 cookie 分开的方法。 Google Analytics 可能是从他们的_ga cookie 开始的。

标签: cookies naming-conventions


【解决方案1】:

在提出这个问题时,并没有具体的技术原因。然而,大约从 2015 年开始there has been support in browsers for two specific "cookie prefixes":

__Secure- 前缀:名称以 __Secure- 开头的 Cookie(破折号是前缀的一部分)必须使用来自安全页面 (HTTPS) 的安全标志进行设置。

__Host- 前缀:名称以 __Host- 开头的 Cookie 必须使用安全标志设置,必须来自安全页面 (HTTPS),不得指定域(因此,不会发送到子域),并且路径必须是 /。

这些解决了 cookie 的一些历史安全问题。默认情况下,子域可以在父域上设置 cookie,这违反了对 Same-Origin Policy 的一些期望。 http:// URL 可以设置和覆盖最初通过 https:// URL 设置的 cookie。通过使用这些 cookie 前缀,您可以选择退出这些问题并采用更安全的 cookie 范例。

【讨论】:

    猜你喜欢
    • 2018-04-18
    • 2016-10-26
    • 2011-07-24
    • 2011-08-03
    • 1970-01-01
    • 2013-02-12
    • 1970-01-01
    • 2015-03-14
    • 1970-01-01
    相关资源
    最近更新 更多