Cookie2: |
Biscuit 2 |
---|---|
HTTP | Entêtes |
Syntaxe
Cookie2: cookie-version |
Paramètres
Nom | Description |
---|---|
cookie-version | Ce paramètre permet d'indiquer la version du Cookie. |
Description
Ce champ d'entête permet d'indiquer au serveur Web que l'agent utilisateur comprend les Cookies de nouveau style, mais que de nos jours les agents utilisateurs utiliseront plutôt l'entête Cookie, pas celui-ci.
Remarques
- Le champ d'entête Cookie2: est considéré comme obsolète et doit éviter d'être utiliser.
- L'entête de requête Cookie2: facilite l'interopérabilité entre les clients et les serveurs comprenant différentes versions de la spécification de Cookie. Lorsque le client envoie un ou plusieurs Cookies à un serveur d'origine, si au moins l'un de ces Cookies contient un attribut $Version dont la valeur est différente de la version que le client comprend, le client doit également envoyer un entête de requête Cookie2.
- La valeur de Cookie-version est la version la plus élevée de la spécification de Cookie (actuellement 1) que le client comprend. Le client doit envoyer au plus un entête de requête par requête.
- Envoi de Cookies dans des transactions non vérifiables, les utilisateurs doivent avoir le contrôle sur les sessions afin de garantir la confidentialité. Pour simplifier la mise en oeuvre et éviter une couche supplémentaire de complexité là où des garanties adéquates existent, cependant, ce document distingue les transactions étant vérifiables et celles n'étant pas vérifiables. Une transaction est vérifiable si l'utilisateur, ou un agent désigné par l'utilisateur, a la possibilité de revoir l'URI de la requête avant son utilisation dans la transaction. Une transaction n'est pas vérifiable si l'utilisateur n'a pas cette option. Les transactions non vérifiables surviennent généralement lorsqu'un agent utilisateur demande automatiquement des entités intégrées ou intégrées ou lorsqu'il résout des réponses de redirection (3xx) à partir d'un serveur d'origine. En règle générale, la transaction d'origine, la transaction initiée par l'utilisateur, est vérifiable et cette transaction peut inciter directement ou indirectement l'agent utilisateur à effectuer des transactions non vérifiables.
- Une transaction non vérifiable concerne un hôte tiers si son hôte de requête U ne correspond pas au domaine de la portée R de l'hôte de requête O dans la transaction d'origine.
- Lorsqu'il effectue une transaction non vérifiable, un agent utilisateur doit désactiver tous les traitements de Cookies (c'est-à-dire ne doit pas envoyer de Cookies et ne doit pas accepter de Cookies reçus) si la transaction est destinée à un hôte tiers.
- Cette restriction empêche un auteur de service malveillant d'utiliser des transactions non vérifiables pour inciter un agent utilisateur à démarrer ou à poursuivre une session avec un serveur dans un domaine différent. Le démarrage ou la poursuite de telles sessions peut être contraire aux attentes de l'utilisateur en matière de confidentialité et peut également être un problème de sécurité.
- Les agents utilisateurs peuvent offrir des options configurables permettant à l'agent utilisateur, ou à tout programme autonome exécuté par l'agent utilisateur, d'ignorer la règle, tant que ces options de substitution par défaut sont désactivées («off»).
- Des mécanismes peuvent être proposés pour automatiser le dépassement des restrictions imposées aux tiers dans des conditions contrôlées.
- De nombreux agents utilisateurs actuels offrent déjà une option de révision rendant de nombreux liens vérifiables. Par exemple, certains agents utilisateurs affichent l'URL étant référencée pour un lien particulier lorsque le pointeur de la souris est placé sur ce lien. L'utilisateur peut donc déterminer s'il doit visiter ce site avant de le faire faire par le navigateur Web.
- Bien qu'elle ne soit pas mise en oeuvre sur les agents utilisateurs actuels, une technique similaire pourrait être utilisée pour un bouton utilisé pour soumettre un formulaire; l'agent utilisateur pourrait afficher l'action à entreprendre si l'utilisateur sélectionnait ce bouton. Cependant, même cette situation ne rend pas tous les liens vérifiables; par exemple, les liens vers des images chargées automatiquement ne seraient normalement pas soumis à la vérification du «pointeur de la souris».
- De nombreux agents utilisateurs offrent également la possibilité à un utilisateur d'afficher la source HTML d'un document ou d'enregistrer la source dans un fichier externe où elle peut être consultée par une autre application. Bien qu'une telle option fournisse un mécanisme d'examen brut, certains utilisateurs pourraient ne pas la juger acceptable à cette fin.
Exemple
L'exemple suivant permet d'indiquer Cookie version 1 :
Cookie2: $Version="1"
Dernière mise à jour : Vendredi, le 10 janvier 2020