在域和子域级别存储 cookie,谁可以访问什么?

【问题标题】:Storing cookies at the domain and subdomain level, who can access what?在域和子域级别存储 cookie,谁可以访问什么?
【发布时间】:2017-04-28 12:51:47
【问题描述】:

我有一个可以让客户登录的网站:

www.example.com/login

并且会在这里完成他们的认证任务

www.example.com/dashboard/

客户也将在这里拥有自己面向公众的内容:

customer1.example.com

面向公众的内容是他们无法编写自己的内容的地方,因此我担心他们是否编写了一些 javascript 等以某种方式获取 cookie 信息,即他们编写 javascript,并且当其他用户访问他们的网站时在 www.example.com 上进行身份验证后,javascript 将获取他们的会话 cookie 并将其发送到另一个网站。

当 cookie 存储在根域和子域中时,它们是否可以在每个级别免费访问?

试图了解安全隐患。

【问题讨论】:

    标签: security cookies


    【解决方案1】:

    您在Domain 属性中指定的主机 的所有子域都可以访问Cookie。

    如果您设置Domain=example.com,cookie 将可用于example.com 的所有子域。

    只有www.example.comwww.example.com 的子域(例如foo.bar.www.example.com)才能访问带有Domain=www.example.com 的cookie - 如果您这样做,不用担心。
    但是请注意,这也意味着无法从 example.com 访问它。

    最严格的选项是省略Domain 属性,根本不发送它。在这种情况下,cookie 应该只能被发送它的主机名访问。也就是说,如果您从www.example.com 发送它,它只会被发送回www.example.com,甚至不会发送到它的子域。

    这在RFC 6265, section 4.1.2.3中都有解释。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2013-06-19
      • 2015-01-11
      • 1970-01-01
      • 1970-01-01
      • 2018-10-07
      • 1970-01-01
      • 2019-08-09
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode