人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

クッキー(およびセッション)を「特定のサブドメインで使用不可」にする方法を教えて下さい。

例)
www.domain.com(クッキーAを使用可)
sub1.domain.com(クッキーAを使用可)
sub2.domain.com(クッキーAを使用可)
user.domain.com(クッキーAを使用不可)

wwwでユーザー登録/認証をしてユーザーIDとパスワードをクッキーに保存します(クッキーA)。

また、クッキーAはsub1, sub2など他のドメインで読み書きします。

user以下でユーザーページを作成、ユーザーページではHTML/JavaScriptをフルに使用可能にしようと考えています。そのためXSSを考慮しuser以下ではクッキーAを読めないようにしたいのです。

セキュリティーをクリアしたかたちでuser以下でクッキー(およびセッション)を使用不可にする方法を教えて下さい。よろしくお願い致します。

●質問者: k2017
●カテゴリ:ウェブ制作
✍キーワード:HTML JavaScript USER WWW XSS
○ 状態 :終了
└ 回答数 : 1/1件

▽最新の回答へ

1 ● llusall
●60ポイント

Set-Cookieレスポンスヘッダの構文----------------------------------------

Set-Cookie : 名前=値; expires=日付;path=パス; domain=ドメイン名; secure

------------------------------------------------------------------------

Set-Cookieにて、クッキーを適用したいドメイン名を指定してあげれば良いと思います。

つまり、

www.domain.com

sub1.domain.com

sub2.domain.com

の3つのSet-Cookieを送出します。

また、仮想フォルダの指定は pathを設定すれば良いと思います。

添付URLを参考にされると良いと思います。

クッキー参考

http://www.imymode.com/exp/cookie.html

http://www.rfs.jp/sb/perl/03/04.html

◎質問者からの返答

試してみます。ありがとうございました。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ