HTTP 状态管理机制 (Cookie) 的当前状态

Question

我想知道是否有关于浏览器符合三个 Cookie 规范的当前状态的调查或报告：Netscape 的原始草案，RFC 2109，以及废弃 RFC 2109 的 RFC 2965。

我知道，由于其年代久远，Netscape 的草案将得到大多数客户的支持。但有些人建议不要再使用它，例如 这个Apache的HttpClient教程：

Netscape 草案： 此规范符合 Netscape Communications 发布的原始规范草案。除非绝对有必要与遗留代码兼容，否则应该避免这样做。

那么其他规格呢？它们准备好使用了吗？

Answer 1

共识似乎是它们还没有准备好使用。 这里提到了一些原因和主要与浏览器合规性有关。

---

然而，凭直觉，我怀疑您提出这个问题的动机可能与会话劫持问题有关，该问题已被诸如

如果是这样的话，我发现了一篇有趣的论文，提出了一种名为 OTC 的问题的解决方案——一次性 cookie。这可能值得一读。它的标题是 一次性 Cookie：使用一次性凭据防止会话劫持攻击，来自 4佐治亚理工学院的博士生。

（如果谷歌文档链接不起作用，这里是 PDF 的直接链接。）

总而言之，它基本上得出结论：

虽然用 HTTPS 完全取代 HTTP 将提高 Web 的整体安全性，但对于某些 Web 应用程序来说，这可能是一个具有挑战性且复杂的项目。 。 。因此，在部署站点范围的 HTTPS 时，许多 Web 应用程序仍然容易受到攻击，这一过程可能需要数年时间。

...

通过依赖哈希链等众所周知的加密结构，OTC 创建了无法重复使用的一次性身份验证令牌，从而提供了更强大的会话完整性。 。 。 OTC 比 HTTPS 高效得多，并且与当前基于 cookie 的机制具有大致相同的性能。

这是一本非常有趣的读物。我希望能以某种方式帮助某人，

〜gMale

Answer 2

最新的调查似乎是 Ka-Ping Yee 在 2002 年撰写的调查，在 WWW/Internet 的发展过程中被认为是古老的。好处是它调查了 3 个操作系统中的 12 个浏览器，这可以让我们对它们如何适应 cookie 管理有一个公平的了解。

Yee Ka-Ping，“Cookie 调查
管理功能和可用性
在网络浏览器中，”
http://zesty.ca/2002/priv/cookie-survey.pdf ,
2002年。

另一篇更新的文章，虽然不太相关，是由 Yue、Xie 和 Wang 撰写的2009 年（2010 年出版）。它对超过5000个网站进行了大规模的HTTP cookie管理研究，使用了一个可以自动验证网站cookie的有用性并代表用户设置cookie使用权限的系统。

岳川、谢孟君、海宁
Wang，“自动 HTTP Cookie
管理系统”，《杂志》
计算机网络 (COMNET)，54(13) 页。
2182--2198, 2010.

Answer 3

您可能需要检查

http://lists.w3.org/ Archives/Public/www-tag/2011Mar/0021.html

指的是

http://www.ietf.org/id/draft-ietf-httpstate-cookie-23.txt

这旨在废弃 RFC 2965。

"Document Quality

This document defines the HTTP Cookie and Set-Cookie HTTP
header fields as they are presently utilized on the Internet. As a
result, there are already many implementations of this specification."