從另一個網站重定向到該網站時,是否可以刪除一個網站上的Cookie?或者由於安全限制,這是不可能的?在另一個網站上刪除Cookie
網站A有一個登錄表單,提交併登錄爲網站B.當用戶使用網站A的登錄表單登出網站B時,網站B將其轉發回網站A.是否有任何網站方式A刪除站點B上的cookie而無需訪問站點B的後端/代碼?
從另一個網站重定向到該網站時,是否可以刪除一個網站上的Cookie?或者由於安全限制,這是不可能的?在另一個網站上刪除Cookie
網站A有一個登錄表單,提交併登錄爲網站B.當用戶使用網站A的登錄表單登出網站B時,網站B將其轉發回網站A.是否有任何網站方式A刪除站點B上的cookie而無需訪問站點B的後端/代碼?
不,如果站點A和B站點都在不同的領域。有一個domain attribute
可以在Set-Cookie
標題中設置,但是它必須是當前域的精確匹配或部分匹配。通過部分匹配,我的意思是foo.example.com
可能爲example.com
設置Cookie,但不能爲ample.com
設置Cookie。
來源RFC 6265(HTTP狀態管理機制):
當用戶代理 「接受一個cookie」 從Request-URI中......
如果規範化的請求主機不域 - 匹配 域屬性:
忽略該cookie完全
請注意,Cookie的刪除實際上是收到的Cookie的過期日期爲,因此上述情況仍然適用。
網站B將不得不實施一種機制來允許這種情況發生。
AFAIK這是不允許的 - 因爲你猜 - 安全原因。
這是正確的。處理註銷時,Cookie必須在站點B的末端被刪除。 –
謝天謝地,一個網站無法修改其他網站的Cookie。 – David