Cookie：HTTP 状态管理机制

2.1. 一致性准则

本文档中的关键词“MUST”、“MUST NOT”、“REQUIRED”、“SHALL”、“SHALL NOT”、“SHOULD”、“SHOULD NOT”、“RECOMMENDED”、“NOT RECOMMENDED”、 “MAY”和“OPTIONAL”只有在像此处所示以全大写形式出现时，才应按照 BCP 14 [RFC2119] [RFC8174] 中的描述进行解释。¶

作为算法一部分以祈使语气表述的要求（例如“剥离 任何 前导空格字符”或“返回 false 并中止此算法”），应按照引入该算法时使用的 关键词（“MUST”、“SHOULD”、“MAY”等）的含义解释。¶

以算法或具体步骤表述的一致性要求可以用任何方式实现， 只要最终结果等价即可。特别地，本规范中定义的算法旨在 易于理解，而不旨在高性能。¶

2.2. 语法表示法

本规范使用 [RFC5234] 的扩展巴科斯-瑙尔范式（ABNF）表示法。¶

下列核心规则按引用纳入，如 [RFC5234] 附录 B.1 所定义：ALPHA（字母）、CR（回车）、CRLF（CR LF）、CTLs （控制字符）、DIGIT（十进制 0-9）、DQUOTE（双引号）、HEXDIG （十六进制 0-9/A-F/a-f）、LF（换行）、NUL（空八位组）、OCTET（除 NUL 外的任意 8 位数据序列）、SP（空格）、HTAB（水平制表符）、 CHAR（任意 [USASCII] 字符）、VCHAR（任意 可见 [USASCII] 字符）， 以及 WSP（空白）。¶

OWS（可选空白）和 BWS（不良空白）规则定义于 [HTTP] 的第 5.6.3 节。¶

2.3. 术语

术语“user agent”、“client”、“server”、“proxy”和“origin server”与 HTTP/1.1 规范（[HTTP] 的第 3 节）中的含义相同。¶

request-host 是用户代理所知的主机名称，用户代理正向该主机 发送 HTTP 请求，或正从该主机接收 HTTP 响应（即，它向其发送相应 HTTP 请求的主机名称）。¶

术语 request-uri 指 [HTTP] 第 7.1 节中定义的“target URI”。¶

两个八位组序列被称为以大小写不敏感方式彼此匹配，当且 仅当它们在 [RFC4790] 定义的 i;ascii-casemap 排序规则下等价。¶

术语 string 表示非 NUL 八位组序列。¶

术语“active browsing context”、“active document”、“ancestor navigables”、 “container document”、“content navigable”、“dedicated worker”、“Document”、 “inclusive ancestor navigables”、“navigable”、“navigate”、“opaque origin”、 “sandboxed origin browsing context flag”、“shared worker”、“the worker's Documents”、“top-level traversable”和“WorkerGlobalScope”定义于 [HTML]。¶

“Service Workers”定义于 Service Workers 规范 [SERVICE-WORKERS]。¶

术语“origin”、从 URI 推导 origin 的机制，以及 origin 的 “the same”匹配算法定义于 [RFC6454]。¶

“Safe” HTTP 方法包括 GET、HEAD、 OPTIONS 和 TRACE，如 [HTTP] 第 9.2.1 节所定义。¶

域的“public suffix”是由公共注册机构控制的域部分，例如“com”、 “co.uk”和“pvt.k12.wy.us”。域的 “registrable domain”是该域的公共后缀加上其左侧的标签。 也就是说，对于 https://www.site.example，公共后缀是 example， 而 可注册域是 site.example。有关安全 注意事项，请参见 第 8.9 节。¶

术语“request”以及请求的“client”、“current url”、“method”、 “target browsing context”和“url list”定义于 [FETCH]。¶

术语“non-HTTP APIs”指用于设置和 检索 cookie 的非 HTTP 机制，例如向脚本暴露 cookie 的 Web 浏览器 API。¶

术语“top-level navigation”指顶级 traversable 的导航。¶

2.4. 名称解析系统

虽然本文档并未严格规定用于 cookie 的任何特定名称解析 系统，但它确实要求该系统只使用 [USASCII] 字符，或使用 ASCII 兼容编码（ACE）。由于域名 系统（DNS）是典型且传统的示例，本文档将 以 DNS 的术语引用名称解析。¶

直接暴露非 ASCII 字符（例如 Unicode）的名称解析系统不在本文档范围内。¶

3.1. 示例

使用 Set-Cookie 标头字段，服务器可以在 HTTP 响应中向用户代理发送一个短 字符串，该字符串将由用户代理在未来处于 cookie 作用域内的 HTTP 请求中 返回。例如，服务器可以向用户 代理发送一个名为 SID、值为 31d4d96e407aad42 的“会话标识符”。随后 用户代理在后续请求中返回该会话标识符。¶

== Server -> User Agent ==

Set-Cookie: SID=31d4d96e407aad42

== User Agent -> Server ==

Cookie: SID=31d4d96e407aad42

服务器可以使用 Path 和 Domain 属性更改 cookie 的默认作用域。例如，服务器可以指示用户代理 将 cookie 返回给 site.example 的每个路径和每个子域。¶

== Server -> User Agent ==

Set-Cookie: SID=31d4d96e407aad42; Path=/; Domain=site.example

== User Agent -> Server ==

Cookie: SID=31d4d96e407aad42

如下一示例所示，服务器可以在 用户 代理处存储多个 cookie。例如，服务器可以通过返回两个 Set-Cookie 标头字段来存储会话标识符以及 用户的首选语言。请注意， 服务器使用 Secure 和 HttpOnly 属性为更敏感的会话标识符提供 额外安全保护（见 第 4.1.2 节）。¶

== Server -> User Agent ==

Set-Cookie: SID=31d4d96e407aad42; Path=/; Secure; HttpOnly
Set-Cookie: lang=en-US; Path=/; Domain=site.example

== User Agent -> Server ==

Cookie: SID=31d4d96e407aad42; lang=en-US

请注意，上述 Cookie 标头字段包含两个 cookie，一个名为 SID， 另一个名为 lang。¶

Cookie 名称区分大小写，这意味着如果服务器向用户代理 发送两个仅名称大小写不同的 Set-Cookie 标头字段，用户 代理将在后续请求中存储并返回这两个 cookie。¶

== Server -> User Agent ==

Set-Cookie: SID=31d4d96e407aad42
Set-Cookie: sid=31d4d96e407aad42

== User Agent -> Server ==

Cookie: SID=31d4d96e407aad42; sid=31d4d96e407aad42

如果服务器希望用户代理在多个“会话”（例如用户代理重启）之间 持久保存 cookie，服务器可以在 Expires 属性中指定过期日期。请注意，如果用户代理的 cookie 存储 超出配额，或用户手动删除服务器的 cookie，用户代理可能会在过期日期之前 删除该 cookie。¶

== Server -> User Agent ==

Set-Cookie: lang=en-US; Expires=Wed, 09 Jun 2026 10:18:14 GMT

== User Agent -> Server ==

Cookie: SID=31d4d96e407aad42; lang=en-US

最后，为了移除 cookie，服务器返回一个带有过去过期日期的 Set-Cookie 标头字段。只有当 Set-Cookie 标头字段中的 Path 和 Domain 属性 与创建 cookie 时使用的值匹配时，服务器才能成功移除该 cookie。¶

== Server -> User Agent ==

Set-Cookie: lang=; Expires=Sun, 06 Nov 1994 08:49:37 GMT

== User Agent -> Server ==

Cookie: SID=31d4d96e407aad42

3.2. 应实现哪些要求

接下来的两个小节，即第 4 节和第 5 节，讨论 两种不同实现类型的要求集合。本节旨在帮助实现者确定哪一组要求 最适合其目标。选择错误的要求集合可能导致与其他 cookie 实现 缺乏兼容性。¶

重要的是要注意，兼容性的含义会因 实现者的目标而异。这些差异随着时间推移而形成， 既源自有意和无意的规范变更、规范解释， 也源自历史实现差异。¶

本节大致将 cookie 规范的实现者分为两类： 生产者和消费者。这些并非正式术语，仅在此用于 帮助读者对用例形成直观理解。¶

4.1. Set-Cookie 标头

Set-Cookie HTTP 响应标头字段用于将 cookie 从 服务器发送给 用户代理。¶

set-cookie        = set-cookie-string
set-cookie-string = BWS cookie-pair *( BWS ";" OWS cookie-av )
cookie-pair       = cookie-name BWS "=" BWS cookie-value
cookie-name       = token
cookie-value      = *cookie-octet / ( DQUOTE *cookie-octet DQUOTE )
cookie-octet      = %x21 / %x23-2B / %x2D-3A / %x3C-5B / %x5D-7E
                      ; US-ASCII characters excluding CTLs,
                      ; whitespace, DQUOTE, comma, semicolon,
                      ; and backslash
token             = <token, defined in [HTTP], Section 5.6.2>

cookie-av         = expires-av / max-age-av / domain-av /
                    path-av / secure-av / httponly-av /
                    samesite-av / extension-av
expires-av        = "Expires" BWS "=" BWS sane-cookie-date
sane-cookie-date  =
    <IMF-fixdate, defined in [HTTP], Section 5.6.7>
max-age-av        = "Max-Age" BWS "=" BWS 1*DIGIT
domain-av         = "Domain" BWS "=" BWS domain-value
domain-value      = <subdomain>
                      ; see details below
path-av           = "Path" BWS "=" BWS path-value
path-value        = *av-octet
secure-av         = "Secure"
httponly-av       = "HttpOnly"
samesite-av       = "SameSite" BWS "=" BWS samesite-value
samesite-value    = "Strict" / "Lax" / "None"
extension-av      = 1*av-octet
av-octet          = %x20-3A / %x3C-7E
                      ; any CHAR except CTLs or ";"

Set-Cookie: __Secure-SID=12345; Domain=site.example

Set-Cookie: __Secure-SID=12345; Domain=site.example; Secure

Set-Cookie: __Host-SID=12345
Set-Cookie: __Host-SID=12345; Secure
Set-Cookie: __Host-SID=12345; Domain=site.example
Set-Cookie: __Host-SID=12345; Domain=site.example; Path=/
Set-Cookie: __Host-SID=12345; Secure; Domain=site.example; Path=/

Set-Cookie: __Host-SID=12345; Secure; Path=/

4.2. Cookie 标头

cookie        = cookie-string
cookie-string = cookie-pair *( ";" SP cookie-pair )

5.1. 子组件 算法

本节定义用户代理用于处理 Cookie 和 Set-Cookie 标头字段的 特定子组件的一些算法。¶

5.2. “same-site”和 “cross-site”请求

如果两个 origin 满足 [SAMESITE] 中定义的“same site”准则，则它们是 same-site。 如果以下准则为真，则请求是“same-site”：¶

1. 该请求不是通过用户界面元素触发的 重新加载导航的结果（由 用户代理定义；例如，用户点击工具栏上的刷新按钮触发的请求）。¶

2. 请求的 current url 的 origin 与请求的 client 的“site for cookies”（它是一个 origin）是 same-site，或者请求没有 client，或请求的 client 为 null。¶

通过用户界面元素触发的重新加载导航所产生的请求， 如果被重新加载的文档最初是通过 same-site 请求导航到的， 则这些请求是 same-site。不是“same-site”的请求 则是“cross-site”。¶

请求的 client 的“site for cookies”会根据其 client 类型计算，如以下小节所述：¶

5.3. 忽略 Set-Cookie 标头字段

用户代理可以忽略 100 级 状态码响应中包含的 Set-Cookie 标头字段， 或基于其 cookie 策略（见第 7.2 节）忽略该字段。¶

所有其他 Set-Cookie 标头字段应根据第 5.6 节处理。 也就是说，非 100 级状态码响应中包含的 Set-Cookie 标头字段 （包括 400 级和 500 级状态码响应中的那些） 应被处理，除非根据用户代理的 cookie 策略被忽略。¶

5.4. Cookie 名称前缀

用户代理关于 cookie 名称前缀的要求与 服务器的要求（第 4.1.3 节）略有不同， 因为 UA 必须以大小写不敏感方式匹配前缀字符串。¶

前缀的规范性要求详述于 第 5.7 节中定义的存储模型 算法。¶

这是因为一些服务器会以大小写不敏感方式处理 cookie， 从而 无意中错误大写前缀并接受错误大写的前缀。¶

例如，如果服务器发送以下 Set-Cookie 标头 字段¶

Set-Cookie: __SECURE-SID=12345

给一个以大小写敏感方式检查前缀的 UA，它将接受此 cookie， 而服务器会错误地认为该 cookie 受到 拼写为 __Secure- 的 cookie 所具有的相同保证约束。¶

此外，如果攻击者故意 错误大写某个 cookie 以冒充带前缀 cookie，则服务器易受攻击。例如， 某站点已经有一个 cookie __Secure-SID=12345，并且攻击者以某种方式 向以大小写敏感方式检查前缀的 UA 发送以下该站点的 Set-Cookie 标头字段。¶

Set-Cookie: __SeCuRe-SID=evil

下次用户访问该站点时，UA 会发送这两个 cookie：¶

Cookie: __Secure-SID=12345; __SeCuRe-SID=evil

服务器由于大小写不敏感，将无法区分这两个 cookie，从而使攻击者能够攻陷该站点。¶

为防止这些问题，UA 必须以 大小写不敏感方式匹配 cookie 名称前缀。¶

注：具有不同名称的 cookie 仍会被 UA 视为不同 cookie。 因此，__Secure-foo=bar 和 __secure-foo=baz 可以作为不同的 cookie 同时存在，并且二者都会应用 __Secure- 前缀的要求。¶

以下是会被符合要求的用户代理拒绝的 Set-Cookie 标头字段示例。¶

Set-Cookie: __Secure-SID=12345; Domain=site.example
Set-Cookie: __secure-SID=12345; Domain=site.example
Set-Cookie: __SECURE-SID=12345; Domain=site.example
Set-Cookie: __Host-SID=12345
Set-Cookie: __host-SID=12345; Secure
Set-Cookie: __host-SID=12345; Domain=site.example
Set-Cookie: __HOST-SID=12345; Domain=site.example; Path=/
Set-Cookie: __Host-SID=12345; Secure; Domain=site.example; Path=/
Set-Cookie: __host-SID=12345; Secure; Domain=site.example; Path=/
Set-Cookie: __HOST-SID=12345; Secure; Domain=site.example; Path=/

而以下 Set-Cookie 标头字段如果从 安全源设置，则会被接受。¶

Set-Cookie: __Secure-SID=12345; Domain=site.example; Secure
Set-Cookie: __secure-SID=12345; Domain=site.example; Secure
Set-Cookie: __SECURE-SID=12345; Domain=site.example; Secure
Set-Cookie: __Host-SID=12345; Secure; Path=/
Set-Cookie: __host-SID=12345; Secure; Path=/
Set-Cookie: __HOST-SID=12345; Secure; Path=/

5.5. Cookie 生命周期限制

在处理指定生命周期的 cookie 时，无论是通过 Expires 还是 Max-Age 属性，用户代理都必须限制该 cookie 的最大年龄。该限制不应大于未来 400 天（34560000 秒）。 推荐限制为未来 400 天，但用户代理可以 调整该限制（见第 7.2 节）。 指定生命周期超过该限制的 Expires 或 Max-Age 属性 必须被缩减到该限制。¶

5.6. Set-Cookie 标头 字段

当用户代理在 HTTP 响应中收到 Set-Cookie 标头字段时， 用户代理可以完全忽略该 Set-Cookie 标头字段 （见第 5.3 节）。¶

如果用户代理不完全忽略 Set-Cookie 标头字段， 则用户代理必须将 Set-Cookie 标头字段的 field-value 解析为 set-cookie-string（定义如下）。¶

注：下面的算法比第 4.1 节中的语法更宽松。 例如，该算法允许 cookie-name 由 cookie-octets 组成， 而不是像第 4.1 节所规定的那样为 token，并且该算法 容纳一些根据第 4.1 节中的 语法并非 cookie-octets 的字符。此外， 下面的算法还会从 cookie 名称和值中剥离 前导和尾随空白（但保留 内部空白），而第 4.1 节中的语法禁止 这些位置出现空白。用户代理使用此算法是为了 与不遵循第 4 节建议的服务器互操作。¶

注：由于 set-cookie-string 可能来自非 HTTP API， 因此不能保证它不含 CTL 字符，所以此算法会 显式处理它们。水平制表符（%x09）被排除在 会导致 set-cookie-string 被拒绝的 CTL 字符之外，因为它被视为 空白，将单独处理。¶

注：set-cookie-string 可能包含看起来 按 [RFC3986] 第 2.1 节进行了 percent-encoded 的八位组序列。但是，用户代理 不得解码这些序列，而应按此算法规定解析各个 八位组。¶

用户代理必须使用等价于以下算法的算法来 解析 set-cookie-string：¶

1. 如果 set-cookie-string 包含 %x00-08 / %x0A-1F / %x7F 字符 （不包括 HTAB 的 CTL 字符）： 中止此算法并完全忽略 set-cookie-string。¶

2. 如果 set-cookie-string 包含 %x3B（“;”）字符：¶

   1. name-value-pair string 由 第一个 %x3B（“;”）之前（但不包括该字符）的字符组成， unparsed-attributes 由 set-cookie-string 的剩余部分组成 （包括相关的 %x3B（“;”））。¶

   否则：¶

   1. name-value-pair string 由 set-cookie-string 中包含的所有字符组成， unparsed-attributes 为空 字符串。¶

3. 如果 name-value-pair string 缺少 %x3D（“=”）字符， 则 name string 为空，value string 是 name-value-pair 的值。¶

   否则，（可能为空的）name string 由第一个 %x3D（“=”）字符之前（但不包括该字符）的字符组成， （可能为空的）value string 由第一个 %x3D（“=”） 字符之后的字符组成。¶

4. 从 name string 和 value string 中移除任何前导或尾随 WSP 字符。¶

5. 如果 name string 和 value string 的长度之和 超过 4096 个八位组，则中止此算法并完全忽略 set-cookie-string。¶

6. cookie-name 为 name string，cookie-value 为 value string。¶

用户代理必须使用等价于以下算法的算法来 解析 unparsed-attributes：¶

1. 如果 unparsed-attributes 字符串为空，则跳过这些 步骤的其余部分。¶

2. 丢弃 unparsed-attributes 的第一个字符（它将是一个 %x3B（“;”）字符）。¶

3. 如果剩余的 unparsed-attributes 包含 %x3B（“;”） 字符：¶

   1. 消费 unparsed-attributes 中直到第一个 %x3B（“;”）字符之前（但不包括该字符）的字符。¶

   否则：¶

   1. 消费 unparsed-attributes 的剩余部分。¶

   令 cookie-av string 为此步骤中消费的字符； unparsed-attributes 现在包含任何剩余字符。¶

4. 如果 cookie-av string 包含 %x3D（“=”）字符：¶

   1. （可能为空的）attribute-name string 由 第一个 %x3D（“=”）字符之前（但不包括该字符）的字符组成， （可能为空的）attribute-value string 由第一个 %x3D（“=”）字符之后的字符组成。¶

   否则：¶

   1. attribute-name string 由整个 cookie-av string 组成， attribute-value string 为空。¶

5. 从 attribute-name string 和 attribute-value string 中移除任何前导或尾随 WSP 字符。¶

6. 如果 attribute-value 长于 1024 个八位组，则忽略 cookie-av string 并返回此算法的步骤 1。¶

7. 根据以下小节中的要求处理 attribute-name 和 attribute-value。（请注意，具有 未识别 attribute-names 的属性会被忽略。）¶

8. 返回此算法的步骤 1。¶

当用户代理完成对 set-cookie-string 的解析时，就称用户代理从 request-uri “接收一个 cookie”，其名称为 cookie-name， 值为 cookie-value，属性为 cookie-attribute-list。（关于接收 cookie 所触发的附加要求， 请参见第 5.7 节。）¶

 * The HTTP request associated with the retrieval uses a "safe"
   method.

 * At least one of the following is true:

   1.  The HTTP request associated with the retrieval uses a "safe"
       method.

   2.  The cookie's same-site-flag is "Default" and the amount of
       time elapsed since the cookie's creation-time is at most a
       duration of the user agent's choosing.

5.7. 存储模型

用户代理存储每个 cookie 的以下字段：name、value、 expiry-time、domain、path、creation-time、last-access-time、 persistent-flag、host-only-flag、secure-only-flag、http-only-flag 和 same-site-flag。¶

当用户代理从 request-uri “接收一个 cookie”，其名称为 cookie-name，值为 cookie-value，属性为 cookie-attribute-list 时， 用户代理必须按如下方式处理该 cookie：¶

1. 用户代理可以完全忽略收到的 cookie。参见 第 5.3 节。¶

2. 如果 cookie-name 为空且 cookie-value 为空，则中止此 算法并 完全忽略该 cookie。¶

3. 如果 cookie-name 或 cookie-value 包含 %x00-08 / %x0A-1F / %x7F 字符（不包括 HTAB 的 CTL 字符）， 则中止此算法并完全忽略该 cookie。¶

4. 如果 cookie-name 和 cookie-value 的长度之和超过 4096 个八位组，则中止此算法并完全忽略该 cookie。¶

5. 创建一个新 cookie，其 name 为 cookie-name，value 为 cookie-value。将 creation-time 和 last-access-time 设置为当前日期和时间。¶

6. 如果 cookie-attribute-list 包含一个 attribute-name 为“Max-Age”的属性：¶

   1. 将 cookie 的 persistent-flag 设置为 true。¶

   2. 将 cookie 的 expiry-time 设置为 cookie-attribute-list 中最后一个 attribute-name 为 “Max-Age”的属性的 attribute-value。¶

   否则，如果 cookie-attribute-list 包含一个 attribute-name 为“Expires”的属性（且不包含 attribute-name 为“Max-Age”的属性）：¶

   1. 将 cookie 的 persistent-flag 设置为 true。¶

   2. 将 cookie 的 expiry-time 设置为 cookie-attribute-list 中最后一个 attribute-name 为 “Expires”的属性的 attribute-value。¶

   否则：¶

   1. 将 cookie 的 persistent-flag 设置为 false。¶

   2. 将 cookie 的 expiry-time 设置为最晚的 可表示日期。¶

7. 如果 cookie-attribute-list 包含一个 attribute-name 为“Domain”的属性：¶

   1. 令 domain-attribute 为 cookie-attribute-list 中最后一个同时具有 attribute-name 为“Domain”且 attribute-value 长度不超过 1024 个八位组的属性的 attribute-value。（请注意，前导 %x2E （“.”）若存在则会被忽略，即使该字符并不 被允许。）¶

   否则：¶

   1. 令 domain-attribute 为空字符串。¶

8. 如果 domain-attribute 包含不属于 CHAR 的字符，则中止 此算法并完全忽略该 cookie。¶

9. 如果用户代理被配置为拒绝“public suffixes”，且 domain-attribute 是 public suffix：¶

   1. 令 request-host-canonical 为规范化后的 request-host。¶

   2. 如果 request-host 未能规范化，则中止 此算法并 完全忽略该 cookie。¶

   3. 如果 domain-attribute 与 request-host-canonical 完全相同：¶

      1. 令 domain-attribute 为空 字符串。¶

      否则：¶

      1. 中止此算法并完全忽略该 cookie。¶

   注：此步骤防止 attacker.example 通过设置一个 Domain 属性为“example”的 cookie 来破坏 site.example 的完整性。¶

10. 如果 domain-attribute 非空：¶

    1. 如果 request-host-canonical 不 domain-match （见第 5.1.3 节） domain-attribute：¶

       1. 中止此算法并完全忽略该 cookie。¶

       否则：¶

       1. 将 cookie 的 host-only-flag 设置为 false。¶

       2. 将 cookie 的 domain 设置为 domain-attribute。¶

    否则：¶

    1. 将 cookie 的 host-only-flag 设置为 true。¶

    2. 将 cookie 的 domain 设置为 request-host-canonical。¶

11. 如果 cookie-attribute-list 包含一个 attribute-name 为“Path”的属性，则将 cookie 的 path 设置为 cookie-attribute-list 中最后一个同时具有 attribute-name 为“Path”且 attribute-value 长度不 超过 1024 个八位组的属性的 attribute-value。否则，将 cookie 的 path 设置为 request-uri 的 default-path。¶

12. 如果 cookie-attribute-list 包含一个 attribute-name 为“Secure”的属性，则将 cookie 的 secure-only-flag 设置为 true。 否则，将 cookie 的 secure-only-flag 设置为 false。¶

13. 如果 request-uri 不表示一个“secure”连接（由 用户代理定义），且 cookie 的 secure-only-flag 为 true，则中止这些 步骤并完全忽略该 cookie。¶

14. 如果 cookie-attribute-list 包含一个 attribute-name 为“HttpOnly”的属性，则将 cookie 的 http-only-flag 设置为 true。 否则，将 cookie 的 http-only-flag 设置为 false。¶

15. 如果 cookie 是从“non-HTTP”API 接收的，且 cookie 的 http-only-flag 为 true，则中止此算法并完全忽略该 cookie。¶

16. 如果 cookie 的 secure-only-flag 为 false，且 request-uri 不表示一个“secure”连接，那么如果 cookie 存储包含一个或多个满足 以下所有准则的 cookie，则中止此算法并完全忽略 该 cookie：¶

    1. 其 name 与新创建的 cookie 的 name 匹配。¶

    2. 其 secure-only-flag 为 true。¶

    3. 其 domain domain-matches（见第 5.1.3 节）新创建 cookie 的 domain，或反之亦然。¶

    4. 新创建 cookie 的 path path-matches 现有 cookie 的 path。¶

    注：path 比较不是对称的，只确保 新创建的非安全 cookie 不会覆盖现有的安全 cookie，从而对 cookie-fixing 攻击提供一定缓解。也就是说， 给定一个名为 'a'、path 为 '/login' 的现有安全 cookie， 可以为 path '/' 或 '/foo' 设置一个名为 'a' 的 非安全 cookie，但不能为 path '/login' 或 '/login/en' 设置。¶

17. 如果 cookie-attribute-list 包含一个 attribute-name 为“SameSite”且 attribute-value 为“Strict”、“Lax”或 “None”的属性，则将 cookie 的 same-site-flag 设置为 cookie-attribute-list 中最后一个 attribute-name 为“SameSite”的属性的 attribute-value。 否则，将 cookie 的 same-site-flag 设置为“Default”。¶

18. 如果 cookie 的 same-site-flag 不是“None”：¶

    1. 如果 cookie 是从“non-HTTP”API 接收的，且 该 API 是从一个 navigable 的活动 document 调用的，而其“site for cookies” 与 top-level origin 不是 same-site，则中止此算法并 完全忽略新创建的 cookie。¶

    2. 如果 cookie 是从“same-site”请求接收的 （如第 5.2 节所定义），则跳过 剩余子步骤并继续 处理该 cookie。¶

    3. 如果 cookie 是从正在导航 top-level traversable [HTML] 的请求接收的 （例如，如果请求的“reserved client”为 null，或是一个其“target browsing context”的 navigable 为 top-level traversable 的环境），则跳过 剩余子步骤并继续处理该 cookie。¶

       注：顶级导航可以创建任何 SameSite 值的 cookie，即使该新 cookie 若在导航前已经存在也不会随 该请求一起发送。¶

    4. 中止此算法并完全忽略新创建的 cookie。¶

19. 如果 cookie 的“same-site-flag”为“None”，则中止此算法并 完全忽略该 cookie，除非 cookie 的 secure-only-flag 为 true。¶

20. 如果 cookie-name 以大小写不敏感方式匹配字符串 “__Secure-”开头，则中止此算法并完全忽略该 cookie，除非 cookie 的 secure-only-flag 为 true。¶

21. 如果 cookie-name 以大小写不敏感方式匹配字符串 “__Host-”开头，则中止此算法并完全忽略该 cookie，除非 cookie 满足以下所有准则：¶

    1. cookie 的 secure-only-flag 为 true。¶

    2. cookie 的 host-only-flag 为 true。¶

    3. cookie-attribute-list 包含一个 attribute-name 为“Path”的属性，且 cookie 的 path 为 /。¶

22. 如果 cookie-name 为空，并且以下任一 条件为 true，则中止此算法并完全忽略该 cookie：¶

    • cookie-value 以大小写不敏感方式匹配字符串 “__Secure-”开头¶

    • cookie-value 以大小写不敏感方式匹配字符串 “__Host-”开头¶

23. 如果 cookie 存储包含一个与新创建 cookie 的 name、domain、 host-only-flag 和 path 相同的 cookie：¶

    1. 令 old-cookie 为与新创建 cookie 具有相同 name、domain、 host-only-flag 和 path 的现有 cookie。（请注意，此 算法维持以下不变量：至多存在一个这样的 cookie。）¶

    2. 如果新创建的 cookie 是从 “non-HTTP”API 接收的，且 old-cookie 的 http-only-flag 为 true，则中止此算法并 完全忽略新创建的 cookie。¶

    3. 更新新创建 cookie 的 creation-time 以匹配 old-cookie 的 creation-time。¶

    4. 从 cookie 存储中移除 old-cookie。¶

24. 将新创建的 cookie 插入 cookie 存储。¶

如果 cookie 的 expiry date 在过去，则该 cookie 为“expired”。¶

如果 cookie 存储中在任何时候存在 expired cookie， 用户代理必须从 cookie 存储中逐出所有 expired cookie。¶

如果共享同一 domain 字段的 cookie 数量超过某个 由实现定义的上限（例如 50 个 cookie），则用户代理可以在任何时候从 cookie 存储中 “remove excess cookies”。¶

如果 cookie 存储超过某个预定上限（例如 3000 个 cookie），则用户代理可以在任何时候从 cookie 存储中 “remove excess cookies”。¶

当用户代理从 cookie 存储中移除 excess cookies 时，用户 代理必须按以下优先级顺序逐出 cookie：¶

1. Expired cookies。¶

2. secure-only-flag 为 false，且与超过预定数量的 其他 cookie 共享 domain 字段的 cookie。¶

3. 与超过预定数量的 其他 cookie 共享 domain 字段的 cookie。¶

4. 所有 cookie。¶

如果两个 cookie 具有相同的移除优先级，则用户代理必须先逐出 last-access-time 最早的 cookie。¶

当“the current session is over”（由用户代理定义）时，用户 代理必须从 cookie 存储中移除所有 persistent-flag 设置为 false 的 cookie。¶

5.8. 检索模型

本节定义如何以 cookie-string 的形式 从 cookie 存储中检索 cookie。“retrieval”是任何需要生成 cookie-string 的事件。例如，为了构建 HTTP 请求的 Cookie 标头字段，可能会发生 retrieval；或者为了从提供 cookie 访问能力的 “non-HTTP”API 调用返回 cookie-string，可能需要 retrieval。retrieval 具有相关联的 URI、same-site 状态和类型， 它们根据 retrieval 类型在下文定义。¶

6.1. 限制

实际的用户代理实现对它们可以存储的 cookie 数量和大小有限制。通用用户代理应提供以下 最低能力：¶

• 每个 domain 至少 50 个 cookie。¶

• 总计至少 3000 个 cookie。¶

用户代理可以限制其存储的 cookie 最大数量，并且可以在任何时候逐出 任意 cookie（无论是应用户请求，还是由于 实现限制）。¶

请注意，对 cookie 最大数量的限制也会限制 已存储 cookie 的总大小，这是由于 第 5.6 节中必须强制执行的长度限制。¶

服务器应使用尽可能少且尽可能小的 cookie，以避免达到 这些实现限制，最大限度减少因 Cookie 标头字段包含在每个请求中而产生的网络带宽消耗，并避免达到 服务器标头字段限制（见第 4.2.1 节）。¶

如果用户代理由于可能在任何时候逐出任意 cookie 而未能在 Cookie 标头字段中返回一个或多个 cookie，则服务器应优雅降级。¶

6.2. 应用程序 编程接口

Cookie 和 Set-Cookie 标头字段采用如此深奥处理的一个原因是， 许多平台（包括服务器和用户代理）都为 cookie 提供基于字符串的 应用程序编程接口（API），要求 应用层程序员生成和解析 Cookie 和 Set-Cookie 标头字段所使用的语法，而许多程序员曾错误地这样做， 从而导致互操作性问题。¶

平台不应向 cookie 提供基于字符串的 API，而应提供 更具语义的 API。本文档无意推荐具体的 API 设计，但接受一个抽象的“Date”对象而不是序列化日期字符串 具有明显好处。¶

7.1. 第三方 Cookie

“third-party”或 cross-site cookie 是指与嵌入内容（例如 脚本、图像、样式表、框架）相关联的 cookie，这些内容来自不同于托管 主要资源的服务器（通常是用户正在查看的 Web 页面）。第三方 cookie 经常用于关联用户在不同站点上的活动。¶

由于其固有的隐私问题，大多数用户代理现在以 多种方式限制第三方 cookie。一些用户代理通过拒绝处理第三方 Set-Cookie 标头字段并拒绝发送第三方 Cookie 标头字段来完全阻止第三方 cookie。 一些用户代理基于 first-party 上下文对 cookie 进行分区， 使得发送的 cookie 会根据正在浏览的站点而不同。一些用户代理基于 用户代理 cookie 策略和/或用户控制来阻止 cookie。¶

虽然本文档不认可或要求采用特定方法，但建议 用户代理采用一种第三方 cookie 策略，该策略在兼容性约束 允许的范围内尽可能严格。因此，在可预见的未来，资源不能依赖 第三方 cookie 会被用户代理一致对待。¶

7.2. Cookie 策略

用户代理可以执行由关于 cookie 如何被使用或忽略的限制组成的 cookie 策略（见第 5.3 节）。¶

cookie 策略可以规定哪些域或方（如第一方和第三方 （见第 7.1 节））可被 用户代理允许访问 cookie。 该策略还可以定义 cookie 大小、cookie 过期时间（见 第 5.5 节）、以及每个 domain 或总体 cookie 数量的限制。¶

推荐的 cookie 过期上限为 400 天。用户代理可以设置 更低的限制以强制更短的数据保留期限，或在适当时将限制设置得更高 以支持更长时间保留（例如，通过 HTTPS 进行的 server-to-server 通信）。¶

限制性 cookie 策略的目标通常是改善安全性或 隐私。 用户代理通常允许用户更改 cookie 策略（见第 7.3 节）。¶

7.3. 用户控制

用户代理应向用户提供一种机制，用于管理 cookie 存储中存储的 cookie。例如，用户代理可以让用户删除 在指定时间段内接收的所有 cookie，或删除与 特定 domain 相关的所有 cookie。此外，许多用户代理包含一个用户界面 元素，使用户能够检查其 cookie 存储中存储的 cookie。¶

用户代理应向用户提供一种禁用 cookie 的机制。当 cookie 被禁用时，用户代理不得在出站 HTTP 请求中包含 Cookie 标头字段， 并且用户代理不得处理入站 HTTP 响应中的 Set-Cookie 标头字段。¶

用户代理可以提供更改 cookie 策略的方式（见 第 7.2 节）。¶

用户代理可以向用户提供一种选项，以防止 cookie 跨会话持久存储。在如此配置时，用户代理必须将所有 收到的 cookie 都视为其 persistent-flag 被设置为 false。一些流行的 用户代理通过“private browsing”模式公开此功能 [Aggarwal2010]。¶

7.4. 过期日期

尽管服务器可以将 cookie 的过期日期设置到遥远的 未来， 但大多数用户代理实际上不会将 cookie 保留数十年。 与其选择不必要地长的过期期限，服务器应通过 根据 cookie 的用途选择合理的 cookie 过期期限来提升用户 隐私。例如，一个典型的会话标识符合理地 可被设置为在两周后过期。¶

8.1. 概述

Cookie 存在许多安全陷阱。本节概述其中一些 较突出的 问题。¶

特别是，cookie 鼓励开发者依赖 ambient authority 进行身份验证，常常变得易受 cross-site request forgery [CSRF] 等攻击。此外，在 cookie 中存储会话 标识符时，开发者 常常会产生 session fixation 漏洞。¶

传输层加密，例如 HTTPS 中采用的加密，为防御针对 cookie 的网络攻击 提供了重要的一层防护。然而，由于 cookie 协议本身固有的漏洞（见下文“Weak Confidentiality”和“Weak Integrity”），它 不足以完全防止网络攻击者获取或 更改受害者的 cookie。此外，默认情况下，即使与 HTTPS 结合使用， cookie 也不针对网络攻击者提供机密性或完整性。这意味着 cookie 需要显式指定任何保护性属性。例如， cookie：¶

Set-Cookie: a=b ¶

没有指定 Secure 属性，因此无论其最初是在何种连接类型上 创建的，它都可在安全和不安全连接上访问。 这种行为可能允许攻击者读取或修改该 cookie。¶

8.2. 环境授权

使用 cookie 验证用户身份的服务器可能遭受安全 漏洞，因为一些用户代理允许远程方从用户代理发出 HTTP 请求 （例如，通过 HTTP 重定向或 HTML 表单）。在发出 这些请求时，即使远程方不知道 cookie 的内容， 用户代理也会附加 cookie，从而可能让远程方在一个疏忽的服务器上行使 授权。¶

虽然这种安全问题有许多名称（例如 cross-site request forgery、confused deputy），但问题源于 cookie 是一种 ambient authority。Cookie 鼓励服务器运营者将 designation （以 URL 的形式）与 authorization（以 cookie 的形式）分离。 因此，用户代理可能会为攻击者指定的资源提供授权， 可能导致服务器或其客户端 执行攻击者指定的操作，就好像这些操作已由 用户授权一样。¶

服务器运营者可以考虑不要使用 cookie 进行授权，而是通过将 URL 视为 capability 来纠缠 designation 和 authorization。 这种方法不是将秘密存储在 cookie 中，而是将 秘密存储在 URL 中，要求远程实体自行提供该秘密。 虽然这种方法并非万灵药，但审慎应用这些 原则可以带来更健壮的安全性。¶

8.3. 明文

除非通过安全通道（例如 TLS [TLS13]）发送，否则 Cookie 和 Set-Cookie 标头字段中的信息会以明文传输。¶

1. 这些标头字段中传达的所有敏感信息都会 暴露给 窃听者。¶

2. 恶意中介可能在标头字段沿任一 方向传输时修改这些标头字段， 产生不可预测的结果。¶

服务器在将 cookie 传输给用户代理时（即使通过安全通道发送 cookie），也应加密并签名 cookie 的内容（使用服务器期望的任何格式）。 然而，加密和签名 cookie 内容并不能防止攻击者将 cookie 从一个用户 代理移植到另一个用户代理，或在稍后时间重放该 cookie。¶

除了加密并签名每个 cookie 的内容之外，需要更高安全级别的 服务器应仅在安全通道上使用 Cookie 和 Set-Cookie 标头字段。在安全通道上使用 cookie 时， 服务器应为每个 cookie 设置 Secure 属性（见第 4.1.2.5 节）。如果服务器没有设置 Secure 属性， 安全通道提供的保护将基本失去意义。¶

例如，考虑一个将会话标识符存储在 cookie 中，并且通常通过 HTTPS 访问的 Webmail 服务器。如果服务器没有在其 cookie 上设置 Secure 属性，主动网络攻击者可以拦截用户代理发出的任意 出站 HTTP 请求，并将该请求重定向到 通过 HTTP 访问的 Webmail 服务器。即使 Webmail 服务器没有监听 HTTP 连接，用户代理仍然会在请求中包含 cookie。 主动网络攻击者可以拦截这些 cookie，针对 服务器重放它们，并获知用户电子邮件的内容。相反，如果服务器在其 cookie 上设置了 Secure 属性，则用户代理不会在明文请求中 包含这些 cookie。¶

8.4. 会话标识符

服务器通常不会直接在 cookie 中存储会话信息（在那里它可能 暴露给攻击者或被攻击者重放），而是在 cookie 中存储一个 nonce（或“session identifier”）。当服务器收到 带有 nonce 的 HTTP 请求时，服务器可以使用该 nonce 作为键， 查找与该 cookie 关联的状态信息。¶

使用会话标识符 cookie 可以限制攻击者在获知 cookie 内容时能够造成的损害，因为 nonce 只对 与服务器交互有用（不同于非 nonce 的 cookie 内容，后者本身 可能是敏感的）。此外，使用单个 nonce 可防止攻击者将 与服务器两次交互中的 cookie 内容“splicing”在一起，这 可能导致服务器表现出意外行为。¶

使用会话标识符并非没有风险。例如，服务器应 注意避免“session fixation”漏洞。session fixation 攻击 分三步进行。首先，攻击者将一个会话标识符 从其用户代理移植到受害者的用户代理。其次，受害者使用 该会话标识符与服务器交互，可能会将 用户的凭据或机密信息赋予该 会话标识符。第三，攻击者使用该会话标识符直接与服务器 交互，可能获得用户的授权或机密信息。¶

8.5. 弱保密性

Cookie 不提供按端口隔离。如果一个 cookie 可被运行在某个端口上的 服务读取，则该 cookie 也可被同一服务器另一个 端口上运行的服务读取。如果一个 cookie 可被某个端口上的服务写入， 则该 cookie 也可被同一服务器另一个端口上运行的服务写入。 因此，服务器不应在同一主机的不同端口上运行彼此不信任的 服务，同时又使用 cookie 存储安全敏感 信息。¶

Cookie 不提供按 scheme 隔离。尽管 cookie 最常与 http 和 https scheme 一起使用，但给定主机的 cookie 也可能 可用于其他 scheme，例如 ftp 和 gopher。虽然这种 按 scheme 隔离的缺失在允许访问 cookie 的非 HTTP API （例如 HTML 的 document.cookie API）中最为明显，但按 scheme 隔离的缺失 实际上也存在于处理 cookie 本身的要求中（例如， 考虑通过 HTTP 检索具有 gopher scheme 的 URI）。¶

Cookie 并不总是提供按 path 隔离。虽然网络层 协议不会将为一个 path 存储的 cookie 发送到另一个 path， 但一些用户代理通过非 HTTP API 公开 cookie，例如 HTML 的 document.cookie API。 因为其中一些用户代理（例如 Web 浏览器）不会隔离 从不同 path 获取的资源，所以从一个 path 检索到的资源可能 能够访问为另一个 path 存储的 cookie。¶

8.6. 弱完整性

Cookie 不为兄弟域（及其 子域）提供完整性保证。例如，考虑 foo.site.example 和 bar.site.example。 foo.site.example 服务器可以设置一个 Domain 属性为 “site.example”的 cookie（可能覆盖 bar.site.example 设置的现有 “site.example”cookie），而用户代理会在发往 bar.site.example 的 HTTP 请求中包含该 cookie。在最坏情况下，bar.site.example 将无法 将此 cookie 与其自己设置的 cookie 区分开来。foo.site.example 服务器可能能够利用这种能力对 bar.site.example 发起攻击。¶

即使 Set-Cookie 标头字段支持 Path 属性，Path 属性也不提供任何完整性保护，因为用户代理 会接受 Set-Cookie 标头字段中的任意 Path 属性。例如， 对 http://site.example/foo/bar 请求的 HTTP 响应可以设置 一个 Path 属性为“/qux”的 cookie。因此，服务器不应 在同一主机的不同 path 上运行彼此不信任的服务，同时又 使用 cookie 存储安全敏感信息。¶

主动网络攻击者还可以通过冒充来自 http://site.example/ 的响应并注入 Set-Cookie 标头字段， 将 cookie 注入发送给 https://site.example/ 的 Cookie 标头字段。 site.example 上的 HTTPS 服务器将无法将这些 cookie 与 它自己在 HTTPS 响应中设置的 cookie 区分开来。主动网络攻击者可能能够 利用这种能力对 site.example 发起攻击，即使 site.example 仅使用 HTTPS。¶

服务器可以通过加密并签名其 cookie 的内容，或通过使用 __Secure- 前缀命名 cookie，部分缓解这些攻击。 然而，使用密码学并不能完全缓解该问题，因为 攻击者可以在用户会话中重放其从真实 site.example 服务器接收到的 cookie，产生不可预测的结果。¶

最后，攻击者可能能够通过 存储大量 cookie 来强制用户代理删除 cookie。一旦用户代理达到其存储 限制，用户代理将被迫逐出一些 cookie。服务器不应 依赖用户代理保留 cookie。¶

8.7. 对 DNS 的依赖

Cookie 依赖域名系统（DNS）来保证安全。如果 DNS 被 部分或完全攻陷，cookie 协议可能无法提供 应用程序所需的安全属性。¶

8.8. SameSite Cookie

8.9. 公共后缀列表

Cookie 的边界依赖站点的“registrable domain”，而后者又 依赖该域的 public suffix。¶

只要可能，用户代理应使用最新的 public suffix list， 例如 Mozilla 项目在 [PSL] 维护的列表。¶

未能这样做可能允许恶意或敏感 cookie 在 registrable domain 之间泄露。¶

9.1. Cookie

HTTP Field Name Registry（见 [HttpFieldNameRegistry]）需要使用以下注册进行 更新：¶

标头字段名称：

Cookie¶

适用协议：

http¶

状态：

standard¶

作者/变更控制者：

IETF¶

规范文档：

本规范（第 5.8.1 节）¶

9.2. Set-Cookie

HTTP Field Name Registry（见 [HttpFieldNameRegistry]）需要使用以下注册进行 更新：¶

标头字段名称：

Set-Cookie¶

适用协议：

http¶

状态：

standard¶

作者/变更控制者：

IETF¶

规范文档：

本规范（第 5.6 节）¶

9.3. “Cookie Attributes” 注册表

请求 IANA 创建“Cookie Attributes”注册表，定义 用于控制 cookie 行为的属性的命名空间。该注册表应维护在一个新的 注册表组中，名为“Hypertext Transfer Protocol (HTTP) Cookie Attributes”，位于 https://www.iana.org/assignments/cookie-attribute-names。¶

10.1. 规范性参考文献

[DOM-DOCUMENT-COOKIE]

van Kesteren, A., Denicola, D., Farolino, D., Hickson, I., Jägenstedt, P., and S. Pieters, "HTML - 现行标准", 无日期, <https://html.spec.whatwg.org/#dom-document-cookie>. WHATWG

[HTTP]

Fielding, R., Ed., Nottingham, M., Ed., and J. Reschke, Ed., "HTTP Semantics", STD 97, RFC 9110, DOI 10.17487/RFC9110, 2022 年 6 月, <https://www.rfc-editor.org/rfc/rfc9110>.

[RFC1034]

Mockapetris, P., "Domain names - concepts and facilities", STD 13, RFC 1034, DOI 10.17487/RFC1034, 1987 年 11 月, <https://www.rfc-editor.org/rfc/rfc1034>.

[RFC1123]

Braden, R., Ed., "Requirements for Internet Hosts - Application and Support", STD 3, RFC 1123, DOI 10.17487/RFC1123, 1989 年 10 月, <https://www.rfc-editor.org/rfc/rfc1123>.

[RFC2119]

Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, 1997 年 3 月, <https://www.rfc-editor.org/rfc/rfc2119>.

[RFC4790]

Newman, C., Duerst, M., and A. Gulbrandsen, "Internet Application Protocol Collation Registry", RFC 4790, DOI 10.17487/RFC4790, 2007 年 3 月, <https://www.rfc-editor.org/rfc/rfc4790>.

[RFC5234]

Crocker, D., Ed. and P. Overell, "Augmented BNF for Syntax Specifications: ABNF", STD 68, RFC 5234, DOI 10.17487/RFC5234, 2008 年 1 月, <https://www.rfc-editor.org/rfc/rfc5234>.

[RFC5890]

Klensin, J., "Internationalized Domain Names for Applications (IDNA): Definitions and Document Framework", RFC 5890, DOI 10.17487/RFC5890, 2010 年 8 月, <https://www.rfc-editor.org/rfc/rfc5890>.

[RFC6454]

Barth, A., "The Web Origin Concept", RFC 6454, DOI 10.17487/RFC6454, 2011 年 12 月, <https://www.rfc-editor.org/rfc/rfc6454>.

[RFC8126]

Cotton, M., Leiba, B., and T. Narten, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 8126, DOI 10.17487/RFC8126, 2017 年 6 月, <https://www.rfc-editor.org/rfc/rfc8126>.

[RFC8174]

Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, 2017 年 5 月, <https://www.rfc-editor.org/rfc/rfc8174>.

[SAMESITE]

van Kesteren, A., Denicola, D., Farolino, D., Hickson, I., Jägenstedt, P., and S. Pieters, "HTML 现行标准", 无日期, <https://html.spec.whatwg.org/#same-site>. WHATWG

[USASCII]

American National Standards Institute, "Coded Character Set -- 7-bit American Standard Code for Information Interchange", ANSI X3.4, 1986 年.

10.2. 资料性参考文献

[Aggarwal2010]

Aggarwal, G., Burzstein, E., Jackson, C., and D. Boneh, "An Analysis of Private Browsing Modes in Modern Browsers", 2010 年, <http://www.usenix.org/events/sec10/tech/full_papers/Aggarwal.pdf>.

[app-isolation]

Chen, E., Bau, J., Reis, C., Barth, A., and C. Jackson, "App Isolation - Get the Security of Multiple Browsers with Just One", 2011 年, <http://www.collinjackson.com/research/papers/appisolation.pdf>.

[CSRF]

Barth, A., Jackson, C., and J. Mitchell, "Robust Defenses for Cross-Site Request Forgery", DOI 10.1145/1455770.1455782, ISBN 978-1-59593-810-7, ACM CCS '08: Proceedings of the 15th ACM conference on Computer and communications security (pages 75-88), 2008 年 10 月, <http://portal.acm.org/citation.cfm?id=1455770.1455782>.

[FETCH]

van Kesteren, A., "Fetch 现行标准", 无日期, <https://fetch.spec.whatwg.org/>. WHATWG

[HTML]

van Kesteren, A., Denicola, D., Farolino, D., Hickson, I., Jägenstedt, P., and S. Pieters, "HTML 现行标准", 无日期, <https://html.spec.whatwg.org/>. WHATWG

[HttpFieldNameRegistry]

"Hypertext Transfer Protocol (HTTP) Field Name Registry", 无日期, <https://www.iana.org/assignments/http-fields/>.

[prerendering]

Bentzel, C., "Chrome Prerendering", 无日期, <https://www.chromium.org/developers/design-documents/prerender>.

[PSL]

"Public Suffix List", 无日期, <https://publicsuffix.org/list/>.

[RFC2109]

Kristol, D. and L. Montulli, "HTTP State Management Mechanism", RFC 2109, DOI 10.17487/RFC2109, 1997 年 2 月, <https://www.rfc-editor.org/rfc/rfc2109>.

[RFC3986]

Berners-Lee, T., Fielding, R., and L. Masinter, "Uniform Resource Identifier (URI): Generic Syntax", STD 66, RFC 3986, DOI 10.17487/RFC3986, 2005 年 1 月, <https://www.rfc-editor.org/rfc/rfc3986>.

[RFC4648]

Josefsson, S., "The Base16, Base32, and Base64 Data Encodings", RFC 4648, DOI 10.17487/RFC4648, 2006 年 10 月, <https://www.rfc-editor.org/rfc/rfc4648>.

[RFC6265]

Barth, A., "HTTP State Management Mechanism", RFC 6265, DOI 10.17487/RFC6265, 2011 年 4 月, <https://www.rfc-editor.org/rfc/rfc6265>.

[RFC7034]

Ross, D. and T. Gondrom, "HTTP Header Field X-Frame-Options", RFC 7034, DOI 10.17487/RFC7034, 2013 年 10 月, <https://www.rfc-editor.org/rfc/rfc7034>.

[RFC9113]

Thomson, M., Ed. and C. Benfield, Ed., "HTTP/2", RFC 9113, DOI 10.17487/RFC9113, 2022 年 6 月, <https://www.rfc-editor.org/rfc/rfc9113>.

[RFC9114]

Bishop, M., Ed., "HTTP/3", RFC 9114, DOI 10.17487/RFC9114, 2022 年 6 月, <https://www.rfc-editor.org/rfc/rfc9114>.

[SERVICE-WORKERS]

Archibald, J. and M. Kruisselbrink, "Service Workers", 无日期, <https://www.w3.org/TR/service-workers/>.

[TLS13]

Rescorla, E., "The Transport Layer Security (TLS) Protocol Version 1.3", RFC 8446, DOI 10.17487/RFC8446, 2018 年 8 月, <https://www.rfc-editor.org/rfc/rfc8446>.