java-ee - tutorialspoint - servlet upload image to server
¿Qué es una cookie de host solamente? (3)
Me gustaría saber qué es una cookie de host only
.
Al recuperar un form auth
, el navegador ingresa en los encabezados una cookie JSESSIONID que se muestra host only
como host only
.
En primer lugar, no es posible que foo.com
configure una cookie que bar.com
pueda leer. Host-only
solo protege las cookies de example.com
no sean leídas por bar.example.com
.
De RFC 6265 con respecto a la configuración de una cookie y su atributo de Domain
:
If the domain-attribute is non-empty: If the canonicalized request-host does not domain-match the domain-attribute: Ignore the cookie entirely and abort these steps. Otherwise: Set the cookie''s host-only-flag to false. Set the cookie''s domain to the domain-attribute. Otherwise: Set the cookie''s host-only-flag to true. Set the cookie''s domain to the canonicalized request-host.
Lo que esto significa
Lo anterior se puede resumir en "Sólo el host es el predeterminado". Es decir, si el Domain
no está especificado, la cookie solo puede ser leída por el dominio exacto que la configuró. Esto se puede aflojar configurando el atributo de Domain
al configurar una cookie.
Por ejemplo, si la cookie está configurada por www.example.com
y el atributo Domain
no está especificado, la cookie se configurará con el dominio www.example.com
y la cookie será una cookie exclusiva para el host.
Otro ejemplo: si la cookie está configurada por www.example.com
y el atributo Domain
se especifica como example.com
(por lo que la cookie también se enviará a foo.example.com
), la cookie se configurará con el dominio example.com
(o posiblemente .example.com
por algunos navegadores que usan el punto del RFC 2109 anterior para indicar no solo para el host ) y la cookie no será una cookie solo para el host.
El envío de cookies se trata en la sección 5.4 sobre el momento en que el navegador envía el encabezado de la cookie:
The cookie''s host-only-flag is true and the canonicalized request-host is identical to the cookie''s domain. Or: The cookie''s host-only-flag is false and the canonicalized request-host domain-matches the cookie''s domain.
Por lo tanto, una cookie con el dominio foo.example.com
y host-only
como false se envía a example.com
. Si host-only
es verdadero, foo.example.com
se envía solo a foo.example.com
.
La cookie de host solo significa que la cookie debe ser manejada por el navegador al servidor solo al mismo host / servidor que primero la envió al navegador.
No desea enviar esta cookie de host solo para campañas publicitarias, ya que puede contener información confidencial.
La marca de host solo para cocineros es verdadera y el host de solicitud canonicalizado es idéntico al dominio de la cocinero.