HTTP cookie端口是否特定?我在一台机器上运行了两个HTTP服务。我只是想知道他们是否共享他们的cookie或者浏览器是否区分了两个服务器套接字。
3 回答
慕后森
TA贡献1802条经验 获得超5个赞
当前的cookie规范是RFC 6265,它取代了RFC 2109和RFC 2965(这两个RFC现在都被标记为“历史性”)并且正式化了cookie的实际使用语法。它明确指出:
介绍
...
由于历史原因,cookie包含许多安全和隐私信息。例如,服务器可以指示给定的cookie用于“安全”连接,但Secure属性在存在活动网络攻击者时不提供完整性。 同样,给定主机的cookie在该主机上的所有端口之间共享,即使Web浏览器使用的通常的“同源策略”隔离了通过不同端口检索的内容。
并且:
8.5。弱机密性
Cookie不提供端口隔离。如果cookie在一个端口上运行的服务可读,则cookie也可由在同一服务器的另一个端口上运行的服务读取。如果cookie在一个端口上可由服务写入,则cookie也可由在同一服务器的另一个端口上运行的服务写入。出于这个原因,服务器不应该在同一主机的不同端口上运行相互不信任的服务,并使用cookie来存储安全敏感信息。
- 3 回答
- 0 关注
- 380 浏览
添加回答
举报
0/150
提交
取消