JAVA:IT TRICK

クッキー(Cookie)の制約

不当なアクセスが行われないようにクッキーにはセキュリティ上の制約があります。ここでは、クッキーのいくつの制約について説明します。
  • このエントリーをはてなブックマークに追加
  • Clip to Evernote
  • IT TRICK RSS

不当なアクセスが行われないようにクッキーにはセキュリティ上の制約があります。ここでは、クッキーのいくつの制約について説明します。

自分で発行したクッキーにしかアクセスできない

クッキー(Cookie)には発行元のホスト情報がクライアントで記録されており、それ以外のホストからはそのクッキーにアクセスすることができません。例えば、JavaScriptを使ってクッキーを操作しようとしても、そのJavaScriptが埋め込まれているページのホストのクッキー以外はアクセスできません。

サイズや数には制限がある

クッキーはクライアントに情報を保持するための仕組みですが、クライアントにいくらでも好きな情報を保持できるということではありません。クッキーには保存できるサイズや数に以下のような制限があります。

  • クッキーは全部で300個まで
  • 1個のクッキーのサイズは4Kバイトまで
  • サーバ、ドメイン毎に20個まで

クライアントでクッキーをオフにできる

クッキーはブラウザの設定で使用不可にすることができるので、アプリケーションはクッキーが利用できない場合を考慮して設計しなければいけません。

HTTPヘッダにより送信される

クッキーはHTTPヘッダにより送受信されます。通信が暗号化されていない場合(HTTPの場合)、途中で盗聴される危険性があります。そのため、パスワード、クレジットカードなどの重要な情報をクッキーに保持してはいけません。