Cookieのdomain属性はない方がよい
2011年10月13日(木曜日)
Cookieのdomain属性はない方がよい
公開: 2011年10月16日19時55分頃
「CookieのDomain属性は *指定しない* が一番安全 (d.hatena.ne.jp)」。タイトルの通り、必要もないのにCookieにdomain=を指定すると、サブドメインにもCookieが送られるようになってよろしくないというお話。
ちなみに、旧規格とされているRFC2965では、Set-Cookieではなく謎の「Set-Cookie2」を使うことになっていて、これはほとんど誰も実装していません。RFC2965でどうだったか、というのはあまり参考にならないかもしれません。
- 「Cookieのdomain属性はない方がよい」にコメントを書く
