secure cookie cabecera age http cookies http-headers

http - cabecera - ¿Cuál es el estado actual de la especificación Cookie2?



set cookie firefox (3)

¿Tiene alguna información con respecto a los navegadores que implementan / planean implementar esta parte de la especificación HTTP 1.1? Además, qué frameworks ya han implementado esta característica. He hecho mi investigación de Google, pero me gustaría saber si hay algo más.

Además, ¿lo usarías / lo usarías? ¿Lo encuentras mejor que la implementación de Cookie / Set-Cookie?

Lea RFC 6265 que obsoleto rfc 2965. Tiene consejos para no usar o implementar cookie2

Principalmente responderé la segunda parte.

Hice algunas investigaciones al respecto recientemente y ahora estoy firmemente de la opinión de que no, no está listo para usar, y no lo usaría.

Es difícil encontrar datos concretos sobre la especificación existente que funcionará con los navegadores y servidores proxy actuales, ya que las cookies comenzaron como una extensión propietaria del navegador y continúan añadiendo características patentadas, como la bandera "http-only" más reciente. Creo que, en general, la industria ha seguido utilizando este cuasi "estilo Netscape" mezclado con la implementación de RFC 2109, excepto por las reglas más flexibles sobre las cookies de terceros y algunos comportamientos extraños a veces con cadenas no citadas.

En cuanto a si lo encuentro mejor, una lectura de la especificación ciertamente muestra sus beneficios, es decir, el cliente ahora devuelve los parámetros de ruta, dominio y puerto como parámetros ''dólar'', por lo que una aplicación web sabe qué parámetros usar para eliminar / sobrescribir esa cookie. La capacidad de almacenar comentarios con las cookies será un beneficio para el usuario un día, por lo que tienen la oportunidad de ver una explicación en texto simple de para qué sirve la cookie, pero a menos que los navegadores comiencen a advertir a las personas sobre las cookies, ¿quién va a ver? ¿ellos?

La necesidad de enviar un encabezado set-cookie y set-cookie2 también trastornó el purismo en mí, al igual que la necesidad de que un cliente envíe un encabezado Cookie2 además del encabezado Cookie, lo que parecía innecesario cuando lo miraba. YMMV.

Editar: escribí esta respuesta dos años antes de que apareciera RFC 6265 . RFC 6265 declara la especificación Cookie2 obsoleta, por lo que esta respuesta ya no es relevante (pero posiblemente interesante).

El estado actual es que la mayoría de los navegadores solo son totalmente compatibles con la especificación inicial de Cookie de Netscape .

Set-Cookie / Cookie por RFC 2109 solo son compatibles con algún navegador (no sé cuál) y Set-Cookie2 / Cookie2 según RFC 2965 solo por Opera.