Я хотел бы знать, что такое host only cookie.
При извлечении form auth браузер получает в заголовках файл cookie JSESSIONID, показанный как host only.
Что такое только cookie?
Ответ 1
Host Only cookie означает, что cookie должен обрабатываться браузером на сервере только на том же хосте/сервере, который сначала отправил его в браузер.
Вы не хотите отправлять этот хост только cookie для рекламных кампаний, так как он может содержать конфиденциальную информацию.
Ответ 2
Прежде всего, невозможно установить foo.com cookie, который можно прочитать с помощью bar.com. Host-only защищает только example.com cookie от чтения bar.example.com.
Из RFC 6265 относительно установки файла cookie и его атрибута Domain:
If the domain-attribute is non-empty: If the canonicalized request-host does not domain-match the domain-attribute: Ignore the cookie entirely and abort these steps. Otherwise: Set the cookie host-only-flag to false. Set the cookie domain to the domain-attribute. Otherwise: Set the cookie host-only-flag to true. Set the cookie domain to the canonicalized request-host.
Что это означает
Вышеуказанное можно суммировать с помощью параметра "Только для хоста". То есть, если Domain не указывается, cookie может быть прочитан только точным доменом, который установил файл cookie. Это можно ослабить, установив атрибут Domain при настройке файла cookie.
Например, если cookie установлен www.example.com, а атрибут Domain не указан, cookie будет установлен с доменом www.example.com, и cookie будет только cookie-хостом.
Другой пример: если cookie установлен www.example.com, а атрибут Domain указан как example.com (так что cookie будет отправлен на foo.example.com тоже), cookie будет установлен с доменом example.com (или, возможно, .example.com для некоторых браузеров, которые используют точку из предыдущего RFC 2109, чтобы обозначать не только хост-сервер), а cookie будет не быть только cookie хоста.
Отправка файлов cookie описана в разделе 5.4 в отношении того, когда браузер cookie отправляется браузером:
The cookie host-only-flag is true and the canonicalized request-host is identical to the cookie domain. Or: The cookie host-only-flag is false and the canonicalized request-host domain-matches the cookie domain.
Итак, cookie с доменом foo.example.com и Host-only как false отправляется на example.com. Если Host-only истинно, foo.example.com отправляется только на foo.example.com.
Ответ 3
Флаг только для хоста cookie имеет значение true, а канонизированный запрос-хост идентичен домену cookie.