Cookie ice cream sandwich

Эта страница была переведена cookie ice cream sandwich английского языка силами сообщества. Вы тоже можете внести свой вклад, присоединившись к русскоязычному сообществу MDN Web Docs.

Браузер может сохранить этот фрагмент у себя и отправлять на сервер с каждым последующим запросом. До недавнего времени куки использовались в качестве хранилища информации на стороне пользователя. Это могло иметь смысл в отсутствии вариантов, но теперь, когда в распоряжении браузеров появились различные API для хранения данных, это уже не так. Expires или Max-Age для него не задаются. Атрибут Domain Атрибут Domain указывает хосты, на которые отсылаются куки. Если домен указан явно, то поддомены всегда включены. Атрибут Path Атрибут Path указывает URL, который должен быть в запрашиваемом ресурсе на момент отправки заголовка Cookie.

С атрибутом Strict куки будут отправляться только тому сайту, которому эти куки принадлежат. Атрибут Lax работает похоже, но куки будут отправляться также при навигации на тот сайт, которому принадлежат куки. Например, при переходе по ссылке с внешнего сайта. Уязвимое приложение поддомена может установить куку с атрибутом Domain, тем самым открывая к ней доступ на всех других поддоменнах. Этот механизм может эксплуатироваться с атакой фиксация сессии. Тем не менее в соответствии с принципом защита в глубину вы можете использовать куки с префиксами, чтобы гарантировать специфические факты о куках. Защита с помощью этого префикса слабее по сравнению с префиксом __Host-.

Браузеры будут отклонять установку этих кук, если они не будут удовлетворять всем ограничениям. Заметьте, что куки с префиксами, созданные в рамках поддомена, будут ограничиваться только им или будут полностью игнорироваться. Так как бэкенд проверяет только куки с заранее известными именами при авторизации пользователя или валидации CSRF-токена, куки с префиксами фактически работают как защитный механизм от фиксации сессии. Примечание: Бэкенд веб-приложения обязан обращаться по полному имени куки, включая префикс. Для получения информации о статусе поддержки префиксов в разных браузерах обратитесь к статье про Set-Cookie. Пожалуйста, учитывайте вытекающие из этого проблемы, про которые рассказывается ниже в разделе Безопасность.

Безопасность Примечание: При сохранении информации в куках имейте в виду, что у всех пользователей есть возможность просматривать и изменять их значения. В зависимости от типа приложения вы можете использовать ни о чём не говорящее имя для идентификатора кук, смысл которого будет понятен только бэкенду. Соответственно, похищение кук из приложения может привести к захвату авторизованного сеанса пользователя. HTML-документа форума или чата с этим изображением деньги будут переведены с вашего счета.