Cookieをオリジンに紐づける『Origin-Bound Cookies』という仕様がIETFに提出されている。
Cookieは、ポートやスキーム(http, https)が異なるURL間でも共有されます。現在のCookieはオリジンに紐づかない機能であり、現代のWebのセキュリティとして珍しいものになっています。
それに対して、Cookieをオリジンに紐づけるように変更し、セキュリティを向上するのが今回の目的である。
(なお、2022年にもGoogle勢から同様の提案があったものの、標準化には至ってない。今回は改めてIETFにDraftが提出されたものである。IETFでこれから議論されるものと思われる)
Origin-Bound Cookiesの例
簡単に動作の例を示す
- ポートの同一性: https://example.comで設定されたCookieは、 https://example.com:8443 に送信されません (逆も然り)
- スキームの同一性: http://example.comで設定されたCookieは、https://example.comには、送信されません(逆も然り)
なお set-cookieにdomain属性を付けることで、異なるportでもCookieを共有するように動作するようです
