gpt4 book ai didi

security - 哪个对于 cookie : __Host prefix or setting the Domain? 更安全

转载 作者:行者123 更新时间:2023-12-04 12:10:35 25 4
gpt4 key购买 nike

它们似乎都将 cookie 锁定到域,但它们不兼容(因为使用 __Host 前缀需要不设置域)。

我还没有找到一个好的论点,这是更好的方法。我意识到使用 Domain 属性有一些特性,比如允许子域使用 cookie,这似乎是人们在 __Host 上使用它的唯一原因。

但是在所有条件相同的情况下,假设没有子域,你能解释为什么一个比另一个更好吗?

最佳答案

__Host- 前缀是为了解决与 cookie 相关的许多安全问题而创建的,应始终用于域属性。将域属性留空实际上更安全,因为这样您的 cookie 将仅被发送回设置 cookie 的同一主机。这在 RFC6265 中称为仅主机标志:

If the domain attribute is [empty] set the cookie's host-only flag totrue.


__Host- 前缀还可以保护您的 cookie 不被托管在您域的不同子域上的网站覆盖。这是因为它们也受到仅限主机标志的约束。
最后,未加密的连接会使您的网站容易受到中间人固定攻击。 __Host- 前缀通过不允许未加密的连接使用带有此前缀的 cookie 来解决这个问题,从而阻止恶意第三方在用户从 http 重定向到 https 时注入(inject)与安全 cookie 同名的 set-cookie header 。
如果您需要设置域或路径属性,但仍需要 __Host- 前缀提供的安全性,则可以使用 __Secure- 前缀。与 __Host- 前缀一样,带有 __Secure- 前缀的 cookie 只能从安全连接中设置。

关于security - 哪个对于 cookie : __Host prefix or setting the Domain? 更安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/60130416/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com