扫码关注官方订阅号
根据RFC2965 3.3.1(可能或可能不会被浏览器遵循),除非通过Set-Cookie头的port参数明确指定端口,否则cookie可能或可能不会发送到任何端口。
Set-Cookie
port
谷歌的浏览器安全手册表示:默认情况下,cookie的范围仅限于当前主机名上的所有URL,而不绑定到端口或协议信息。稍后的几行中,没有办法将cookie限制为仅限于单个DNS名称[...]同样,没有办法将其限制为特定端口。(此外,请记住,IE根本不将端口号考虑在其同源策略中。)
因此,在这里依赖任何明确定义的行为似乎是不安全的。
当前的cookie规范是RFC 6265,它取代了RFC 2109和RFC 2965(这两个RFC现在被标记为“历史”),并规范了cookie的实际用法的语法。它明确指出:
还有:
微信扫码关注PHP中文网服务号
QQ扫码加入技术交流群
扫描下载App
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
PHP学习
技术支持
返回顶部
2
634
![ThinkPHP5快速开发企业站点[全程实录]](https://img.php.cn/upload/course/000/000/068/6253d918a3ce7278.png)
收藏
根据RFC2965 3.3.1(可能或可能不会被浏览器遵循),除非通过
Set-Cookie头的port参数明确指定端口,否则cookie可能或可能不会发送到任何端口。谷歌的浏览器安全手册表示:默认情况下,cookie的范围仅限于当前主机名上的所有URL,而不绑定到端口或协议信息。稍后的几行中,没有办法将cookie限制为仅限于单个DNS名称[...]同样,没有办法将其限制为特定端口。(此外,请记住,IE根本不将端口号考虑在其同源策略中。)
因此,在这里依赖任何明确定义的行为似乎是不安全的。
当前的cookie规范是RFC 6265,它取代了RFC 2109和RFC 2965(这两个RFC现在被标记为“历史”),并规范了cookie的实际用法的语法。它明确指出:
还有: