我试图在用户登录时将会话cookie设置为特定路径(假设为/foo
)。复杂的是登录页面位于/
,但请求立即重定向到/foo/something
。事情是这样的:有关Cookie和路径的RFC问题
请求:
POST/HTTP/1.1
username=foo&password=bar
响应:
HTTP/1.0 302 Found
Location: http://example.com/foo/home
Set-Cookie: session=whatever; path=/foo
然而,RFC文档中的相关内容,我可以找到(rfc2109和rfc2965)这样说:
为防止可能的安全或隐私违规,请拒绝用户代理 TS一个cookie(不存储它的信息),如果任何 以下的为真:
- 为Path属性的值不是请求 - URI的前缀。
...
上述cookie的设置过程似乎工作还好,但据我可以告诉的RFC说这不应该。
我想在生产系统中使用它,但如果以后我会遇到可怕的浏览器不兼容问题,我真的不想这样做。
我误读了RFC?
在此先感谢!