新年早々まわりで教えて君(死語?)が沸いていた。
ぐぐれ〇す(死語??)と言ったところ、ぐぐったらサイト多すぎて分んねえ!と怒られたので記事化。
スポンサーリンク
目次
おすすめサイト
標準化公式のRFC2965。ただし英語つらい。
HTTP State Management Mechanism
RFCを噛み砕いた良説明。英語つらいがよい。
The Unofficial Cookie FAQ
レジェンドサイトのわかりやすい説明。
Cookieの読み込み
IPA直伝。そもそも何故cookieを使うかの説明。
IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第4章 セッション対策:セッション乗っ取り:#1 セッションIDとセッションID侵害手口
ざっくりと説明すると
・cookieとはHTTPがステートレスなので、状態を表すために存在。
・cookieの使用は属性で制限をかけられる
・属性で代表的なのは4つ。あとはアプリで付加している独自cookie(セッションIDとか)に注意すればよい。
①domain属性(有効なドメイン。後方一致で制限)
②path属性(有効なパス。前方一致で制限)
③secure属性(HTTPSだけで使える。HTTPには使わせない)
④expires属性(有効期限が決められる。GMT注意)