1. Inicio
  2. Pregunta y respuesta
  3. cookies de subdominio, enviadas en una solicitud de dominio principal?

cookies de subdominio, enviadas en una solicitud de dominio principal?

2010-10-05 10 views
10

¿Se envían las cookies del subdominio en una solicitud HTTP del dominio principal?cookies de subdominio, enviadas en una solicitud de dominio principal?

Por ejemplo, decir que tengo las galletas:

Name  Value  Domain (not https) 
ABC  1   .example.com 
XYZ  0   foo.example.com 
DEF  0   bar.example.com

Would [email protected] y [email protected] ser enviado en la cabecera HTTP-cookies en un reqeust a http://example.com/content y/o http://QQQ.example.com/content

Fuente

2010-10-05 Incognito

+0

Véase también: [Ataques de cookies de dominio relacionados] (http://stackoverflow.com/q/9636857/328397) – LamonteCristo

Respuesta

23

El punto inicial en el valor de dominio .example.com significa example.com y sus subdominios. Sin el punto inicial, la cookie solo es válida para este dominio específico.

Tenga en cuenta que al establecer una cookie, los valores del dominio sin un punto inicial se antepondrán con un punto. Solo cuando el parámetro dominio no está establecido, el agente de usuario asume el dominio actual para esa cookie.

En este caso, si se solicita http://example.com/, solo se enviará la cookie para .example.com. Pero en el caso de http://foo.example.com/, se enviarán ambas cookies para .example.com y foo.example.com. Y en el caso de http://bla.foo.example.com, solo se enviará la cookie para .example.com.

Fuente

2010-10-05 16:04:35 Gumbo

+1

Lamentablemente, esta técnica es compatible [de forma diferente] (http://www.phpied.com/www-vs-no-www-and-cookies/) por cada navegador principal, por lo que no lo recomendaría. –

+0

@EfranCobisi ¿Qué quiere decir con "esta técnica"? – Gumbo

+0

Me refiero a eliminar el punto inicial del valor del dominio de la cookie como una solución para la pregunta original. Esto debería funcionar en teoría, pero en la práctica la técnica está limitada por el comportamiento incorrecto de algunos buscadores (ver mi enlace original). –

6

No. es al revés: padres galletas -domain se envían en sub peticiones HTTP -domain.

Fuente

2010-10-05 16:01:26 bobince

+0

¿Hay alguna manera de evitar que se envíen cookies de dominio principal en solicitudes HTTP de subdominio? – Prachi

+1

@Prachi: no entre navegadores, no. En principio, si no configura 'domain', no deberían heredarse en subdominios. Pero IE no respeta eso. – bobince

0

Las cookies de un subdominio solo se envían si se establecieron con un dominio con un punto inicial en el nivel superior. Entonces, si www.example.com establece una cookie con el dominio ".example.com", se envía, de lo contrario, no.

Por el contrario, es más confuso, el conjunto de cookies en el dominio de nivel superior solo debería enviarse a subdominios si tiene el punto inicial, pero si está utilizando Internet Explorer también lo enviará si se envió sin el punto inicial (ref).

Fuente

2010-12-15 10:55:08

Cuestiones relacionadas

 Cuestiones relacionadas