根据RFC2965 3.3.1(可能或可能不会被浏览器遵循),除非通过Set-Cookie头的port参数明确指定端口,否则cookie可能或可能不会发送到任何端口。
Set-Cookie
port
谷歌的浏览器安全手册表示:默认情况下,cookie的范围仅限于当前主机名上的所有URL,而不绑定到端口或协议信息。稍后的几行中,没有办法将cookie限制为仅限于单个DNS名称[...]同样,没有办法将其限制为特定端口。(此外,请记住,IE根本不将端口号考虑在其同源策略中。)
因此,在这里依赖任何明确定义的行为似乎是不安全的。
当前的cookie规范是RFC 6265,它取代了RFC 2109和RFC 2965(这两个RFC现在被标记为“历史”),并规范了cookie的实际用法的语法。它明确指出:
还有:
根据RFC2965 3.3.1(可能或可能不会被浏览器遵循),除非通过
Set-Cookie头的port参数明确指定端口,否则cookie可能或可能不会发送到任何端口。谷歌的浏览器安全手册表示:默认情况下,cookie的范围仅限于当前主机名上的所有URL,而不绑定到端口或协议信息。稍后的几行中,没有办法将cookie限制为仅限于单个DNS名称[...]同样,没有办法将其限制为特定端口。(此外,请记住,IE根本不将端口号考虑在其同源策略中。)
因此,在这里依赖任何明确定义的行为似乎是不安全的。
当前的cookie规范是RFC 6265,它取代了RFC 2109和RFC 2965(这两个RFC现在被标记为“历史”),并规范了cookie的实际用法的语法。它明确指出:
还有: