根据 IP 地址和端口号创建 Cookie，而不是仅基于 IP 地址

Question

我正在开发 Java Web 应用程序，该应用程序主要依赖于 cookie。据我所知，cookie 是基于主机创建的。我们的应用程序也将托管在云和 Intranet 上。 以下是我的要求。 我有两个应用程序实例在同一台机器上运行，我想在同一个浏览器中访问我的应用程序。我已经访问了在同一浏览器中具有不同端口号的两个实例上运行的应用程序，如下所示： 一审：http://192.234.45.80:8081/myApp 二审：http://192.234.45.80:8082/myApp 由于我的两个实例的应用程序在同一个浏览器中运行，为第一个实例应用程序创建的 cookie 将被第二个实例应用程序覆盖。cookie 的默认行为是在主机下创建的。但是对于上述要求，我想创建cookie 基于“主机和端口号”，这样会话 cookie 将是唯一的。

我的问题： 1) 我可以使用“主机+端口号”而不是仅主机来创建 cookie 吗？ 2) 如果此要求违反安全策略，我将面临哪些安全问题？ 3）假设如果有办法基于“主机+端口号”创建cookie，当我在云上托管以支持DNS（指向IP地址+端口号的域名）时如何处理配置？

Answer 1

即使您的服务器在管理会话 ID 时考虑了“主机+端口号”，也完全取决于浏览器来尊重它。寻找这个帖子Are HTTP cookies port specific?。

对于云，强烈建议为不同的应用程序获取不同的域。 也许您可以选择通配符域，以便继续创建子域，这意味着您可以获得 *.wildcard.com DN 并继续创建子域，例如 one.widlcard.com 、 two.widlcard.com 等等，每个子域都可以托管您的应用程序，但它们也存在此处列出的风险https://casecurity.org/2014/02/26/pros-and-cons-of-single-domain-multi-domain-and-wildcard-certificates/ 子域的好处是对于您的情况，每个子域的 cookie 处理方式不同，即浏览器会将每个子域视为不同的域