P粉3646420192023-08-22 17:23:36
根據RFC2965 3.3.1(可能或可能不會被瀏覽器遵循),除非透過Set-Cookie
頭的port
參數明確指定連接埠,否則cookie可能或可能不會發送到任何連接埠。
Google的瀏覽器安全手冊表示:預設情況下,cookie的範圍僅限於目前主機名稱上的所有URL,而不綁定到連接埠或協定資訊。 稍後的幾行中,沒有辦法將cookie限制為僅限於單一DNS名稱[...]同樣,沒有辦法將其限制為特定連接埠。 (此外,請記住,IE根本不將連接埠號碼考慮在其同源策略中。)
#因此,在這裡依賴任何明確定義的行為似乎是不安全的。
P粉4884647312023-08-22 12:31:49
目前的cookie規格是RFC 6265,它取代了RFC 2109和RFC 2965(這兩個RFC現在被標記為「歷史」) ,並規範了cookie的實際用法的語法。它明確指出:
還有: