COMPANY NEWS 公司新闻
Industry News 行业新闻
深圳网站制作谈cookie的路径
发布时间:2014/7/25 22:56:02 |
浏览次数: | 来源:深圳市方与圆网络科技有限公司
与服cookie范围域限制一样,服务器可以再Set-cookie指令中插入一个 path属性,改变这种默认行为,比如如果应用程序返回以下HTTP消息头:
Set-cookie:sessionId=187ab023e09c00a88la; path=/apps/;
那么浏览器会将这个cookie重新返回到/apps/路径的所有子目录中。
将其做为一种安全机制的话,用于防范这一域中不可信应用程序,则这种防御机制几乎完全无效,在某个路径允许的客户端代码能够打开指定想同一域上的不同路径的窗口或iframe,并能读取或写入该窗口,而不受任何限制,相对cookie的范围,cookie基于这种路径的限制比同源策略要更加严格的多。
Set-cookie:sessionId=187ab023e09c00a88la; path=/apps/;
那么浏览器会将这个cookie重新返回到/apps/路径的所有子目录中。
将其做为一种安全机制的话,用于防范这一域中不可信应用程序,则这种防御机制几乎完全无效,在某个路径允许的客户端代码能够打开指定想同一域上的不同路径的窗口或iframe,并能读取或写入该窗口,而不受任何限制,相对cookie的范围,cookie基于这种路径的限制比同源策略要更加严格的多。
