3回答

慕容3067478

当前的cookie规范是RFC 6265，它取代了RFC 2109和RFC 2965(这两个rfc现在都被标记为“历史性”)，并将cookie的实际用法的语法正规化。它明确指出：导言...由于历史原因，cookie包含了许多安全和隐私违规行为。例如，服务器可以指示给定的cookie用于“安全”连接，但在活动网络攻击者的存在下，安全属性不提供完整性。类似地，给定主机的cookie在主机上的所有端口之间共享，尽管Web浏览器通常使用的“相同来源策略”将通过不同端口检索的内容隔离开来。此外：8.5.弱机密性Cookie不提供端口隔离。..如果Cookie是由运行在一个端口上的服务读取的，那么运行在同一服务器的另一个端口上的服务也可以读取Cookie。如果Cookie可由一个端口上的服务写入，则该cookie也可由运行在同一服务器的另一个端口上的服务写入。因此，服务器不应既在同一主机的不同端口上运行相互不信任的服务，又使用cookie存储安全敏感信息。

0 0

0