|
##[[/Estado y Seguridad/Autenticación basada en Formularios|Autenticación basada en Formularios]]
##[[/Estado y Seguridad/OpenID|OpenID]]
##[[/Estado y Seguridad/HTTP Seguro|HTTP Seguro]]
Existen tres áreas de información en la cookie, cada delimitada por el punto y coma (;). El primero es donde se habla de que, hay uno o más pares de nombre y valor. Estos nombre-valor pares están delimitadas por un signo de dólar ($), y se ven muy similar a cómo los parámetros de consulta.
Un sitio web puede poner cualquier información que le gusta en una cookie, aunque hay un límite de tamaño de 4 KB. Un servidor nunca puede confiar en cualquier cosa almacenada en el cliente, a menos que esté asegurada criptográficamente. Es posible almacenar los datos cifrados en una cookie, pero por lo general es más fácil de almacenar un ID. Cuando llega el ID, el software de servidor puede buscar rápidamente los datos de usuario asociados a partir de una estructura de datos en memoria, base de datos o caché distribuida. Puede configurar la mayoría de los entornos de aplicaciones Web para manipular las cookies y automáticamente buscar el estado de sesión.
[[Ejemplo ASP.NET]]
===Cookies HttpOnly===
HttpOnly es un indicador adicional incluida en un encabezado de respuesta HTTP Set-Cookie. El uso de la bandera HttpOnly cuando se genera una cookie ayuda a mitigar el riesgo de script del lado del cliente que accede a la cookie protegida (si el navegador lo soporta).
[[Ejemplo del uso de la sintaxis]]
Si la bandera HttpOnly (opcional) está incluida en el encabezado de respuesta HTTP, la cookie no se puede acceder a través de script del lado del cliente (de nuevo si el navegador es compatible con esta bandera). Como resultado, incluso si existe un cross-site scripting (XSS), falla, y un usuario accede accidentalmente a un enlace que explota esta falla, el navegador (principalmente Internet Explorer) no revelan la cookie a un tercero.
Si un navegador no soporta HttpOnly y un sitio web intenta establecer una cookie de HttpOnly, la bandera HttpOnly será ignorado por el navegador, creando así una secuencia de comandos de la Cookie tradicional accesible. Como resultado, la cookie (típicamente su cookie de sesión) se vuelve vulnerable al robo de modificación mediante script malicioso.
[[Sun Java Enterprise Edition 6 (JEE 6)]]
[[Tipos de Cookies]]<br>
===La Ruta y El Dominio de las Cookies===
Las cookies se establecen mediante una página web, cada una de ellas se desplazara a la página web con una solicitud posterior, siempre y cuando esta no haya expirado, sin embargo no toda cookie viaja a cada página web. Las únicas cookies que un agente de usuario puede enviar a algún sitio deben ser las mismas que el sitio le dio a dicho agente de usuario, no tiene sentido que las cookies de una petición HTTP de algún sitio terminen en un sitio diferente a dicho sitio. Por esto si se establece una cookie en una respuesta de una página web, dicha cookie solo viajara en las solicitudes que se hagan a dicha página.
Las aplicaciones web pueden cambiar el alcance de la cookie, para restringirla a un host o dominio especifico, o hasta una ruta de recurso especifica. La aplicación web controla el alcance utilizando el dominio y los atributos de la ruta. Un ejemplo de esto sería así:
HTTP/1.1 200 OK
Set-Cookie: name=nombre; domain=.dominio.com; path=/stuff
El atributo del dominio de una cookie permite a la cookie abarcar subdominios. Lo que quiere decir que si ''www.dominio.com'' establece una cookie, el agente de usuario solo podrá entregar la cookie a ''www.dominio.com'' . En el ejemplo el dominio de la cookie permite viajar dicha cookie a cualquier URL que este en el dominio ''dominio.com'' como ejemplo podemos decir que la cookie viaje a ''image.dominio.com'' o ''help.dominio.com''. El atributo del dominio no se puede usar para abarcar dominios por esto establecer el dominio de ''dominio2.com'' en respuesta a ''dominio.com'' no es legal y por esto el agente de usuario deberá rechazar la cookie.
El atributo de la ruta puede restringir una cookie a una ruta de recurso específica. En el ejemplo anterior la cookie solo se trasladara a ''dominio.com'' cuando la solicitud de la URL apunta a ''/stuff'', o en un lugar por debajo ''/stuff'', como ''/stuff/imágenes''.
Las configuraciones de la ruta pueden ayudar a organizar las cookies cuando varios equipos estén construyendo aplicaciones web en diferentes caminos.
[[Desventajas de las Cookies]]
=== [[Autenticación Windows]] ===
=== [[Autenticación basada en Formularios]] ===
=== [[OpenID]] ===
=== [[HTTP Seguro]] ===
| 