Hostonly cookie是什么鬼？

知道cookie hostonly屬性的請舉手??

目前w3c定義瀏覽器存放每個cookie需要包含以下字段：

cookie屬性之間用;連接；多個cookie設(shè)置，產(chǎn)生多次Set-Cookieheader

HTTP/1.0?200?OK
Content-type:?text/html
Set-Cookie:?yummy_cookie=choco
Set-Cookie:?X-BAT-FullTicketId=TGT-969171-******;domain=bat.com;?path=/;?samesite=none;?httponly

[page?content]

以上屬性決定了后續(xù)請求能否正常訪問cookie并攜帶cookie， 其中與cookie安全密切相關(guān)的三個屬性：

• secure
• httponly
• samesite

這三個cookie屬性也是單點登錄、跨域訪問常遇到的阻礙的技術(shù)突破點。

?10分鐘掌握cookie全貌

[ASP.NET Core 3.1]瀏覽器嗅探解決部分瀏覽器丟失Cookie問題

今天介紹一個不常見的cookie的屬性hostonly，但是也曾給碼甲哥造成了一點阻礙。

① 這是一個不可手動修改的cookie屬性，類似 Sec-Fetch-、 Origin標頭，都是瀏覽器自動判斷并賦值。

② 判斷邏輯：

如果domain-attribute非空：如果規(guī)范化之后的request-host不匹配domain-attribute ?
中的域名，那么完全忽略掉cookie并且終止這些步驟；否則，將cookie的host-only-flag ?
設(shè)定為false，并且將cookie的domain設(shè)定為domain-attribute。????
否則：將cookie的host-only-flag設(shè)定為true，并且將domain設(shè)定為規(guī)范化之后的request-host。

我當(dāng)時在做一個 單點登錄的時候，原意圖是：?設(shè)置cookie的domain屬性為父域名，向子域名請求時能自動攜帶cookie， 但事與愿違，子域服務(wù)器始終收不到cookie。

我堅信：

成熟的技術(shù)一定會有成熟的診斷姿勢！
成熟的技術(shù)一定會有成熟的診斷姿勢！
成熟的技術(shù)一定會有成熟的診斷姿勢！

Chrome瀏覽器開發(fā)者工具顯示：

疑點1：我的這個cookie在請求子域時被濾除了。

疑點2：在原種植cookie的響應(yīng)流Set-Cookie header，這個cookie的domain鍵值對消失了。

圍觀我設(shè)置Cookie的錯誤代碼：

結(jié)合hostonly的判斷邏輯, 我大概知道了。

大概就是我偷懶使用了單點登錄的回調(diào)地址'bat.com/home'作為domain屬性值，以為能自動解析出正常的domain。

實際上經(jīng)歷了【響應(yīng)流中的Set-Cookie header 忽略cookie domain屬性】---> 【hostonly判斷邏輯】， 事情已經(jīng)失控了，解決問題的辦法也很明確，設(shè)置正確合法的domain屬性值，就不會出現(xiàn)后續(xù)的幺蛾子，上線驗證有效。

許久未更，見諒！碼甲哥其實有很多內(nèi)容想寫，來日方長，與子同程。

本文記錄了某web站點上線生產(chǎn)遇到的跨站點無法攜帶cookie問題,

• 全面梳理了Cookie的疑難姿勢
• 順勢引出了hostonly這個有點意思的cookie屬性
• 希望本次的爬坑經(jīng)歷能給大家?guī)硪稽c幫助