考虑我有> 5KB大小的cookie,这是在客户端生成的机密数据,没有其他人可以看到该数据。
所以我试图限制要发送的数据。有什么方法可以告诉我们不要发送带有请求的cookie吗?
根据cookies规范
当它向原始服务器发送请求时,如果用户代理存储了适用于请求的cookie,则该用户代理包含Cookie请求标头。
在规范中给出希望的是存储的适用于请求的Cookie。
如何使其不适用于请求?
这是不可能的?有没有办法像我们设置http-only?
<session-config>
<cookie-config>
<http-only>true</http-only>
</cookie-config>
</session-config>
答案 0 :(得分:1)
The limit大约是4KB,您已经超过了。因此,您应该将所有机密信息放入会话表而不是cookie。
答案 1 :(得分:1)
HTTP规范规定,每个请求都需要发送所有cookie数据,因为服务器可能需要它。如果您不想这样做,则不要将数据存储在cookie中,而是使用不同的方法存储此敏感信息。
很有可能这个敏感信息最终会出现在目标服务器的访问日志中,这也是不使用cookie的另一个原因。