Làm thế nào để xử lý nhiều cookie có cùng tên?

Ví dụ: tôi có một ứng dụng gửi các tiêu đề HTTP sau để đặt thành cookie có tên "a":

Set-Cookie: a=1;Path=/;Version=1
Set-Cookie: a=2;Path=/example;Version=1

Nếu tôi truy cập /exampletrên máy chủ thì cả hai đường dẫn đều hợp lệ, vì vậy tôi có hai cookie tên là "a"! Vì trình duyệt không gửi bất kỳ thông tin đường dẫn nào nên không thể phân biệt được hai cookie.

Cookie: a=2; a=1

Trường hợp này phải xử lý như thế nào? Chọn cái đầu tiên? Tạo một danh sách với tất cả các giá trị cookie? Hay trường hợp như vậy nên được coi là sai lầm của nhà phát triển?

Từ bài viết này trên SitePoint :

Nếu nhiều cookie có cùng tên khớp với một URI yêu cầu nhất định, thì một cookie sẽ được trình duyệt chọn.

Đường dẫn càng cụ thể thì mức độ ưu tiên càng cao. Tuy nhiên, mức độ ưu tiên dựa trên các thuộc tính khác, bao gồm cả miền, là không xác định và có thể khác nhau giữa các trình duyệt. Điều này có nghĩa là nếu bạn đã đặt cookie cùng tên cho “.example.org” và “www.example.org”, bạn không thể chắc chắn cái nào sẽ được gửi lại.

Chỉnh sửa: thông tin này từ năm 2010 dường như đã lỗi thời, có vẻ như các trình duyệt hiện có thể gửi lại nhiều cookie, hãy xem câu trả lời của @Nate bên dưới để biết chi tiết

Câu trả lời đề cập đến một bài báo trên SitePoint không hoàn toàn đầy đủ. Vui lòng xem RFC 6265 (công bằng mà nói, RFC này được phát hành vào năm 2011 sau khi câu hỏi này được đăng, thay thế RFC 2965 trước đó từ năm 2000 và RFC 2109 từ năm 1997).

Phần 5.4 , tiểu mục 2 có điều này để nói:

Tác nhân người dùng NÊN sắp xếp danh sách cookie theo thứ tự sau:

• Cookie có đường dẫn dài hơn được liệt kê trước cookie có đường dẫn ngắn hơn.

LƯU Ý: Không phải tất cả các tác nhân người dùng đều sắp xếp danh sách cookie theo thứ tự này, nhưng thứ tự này phản ánh thông lệ phổ biến khi tài liệu này được viết, và trong lịch sử, đã có những máy chủ (sai) phụ thuộc vào thứ tự này.

Ngoài ra còn có viên ngọc nhỏ này trong phần 4.2.2 :

... máy chủ KHÔNG NÊN dựa vào thứ tự tuần tự hóa. Đặc biệt, nếu tiêu đề Cookie chứa hai cookie có cùng tên (ví dụ: được đặt với các thuộc tính Đường dẫn hoặc Miền khác nhau), máy chủ KHÔNG NÊN dựa vào thứ tự mà các cookie này xuất hiện trong tiêu đề.

Trong cookie yêu cầu mẫu của bạn ( Cookie: a = 2; a = 1 ) lưu ý rằng cookie được đặt với đường dẫn / example ( a = 2 ) có đường dẫn dài hơn so với cookie có đường dẫn / ( a = 1 ) và do đó được gửi lại cho bạn trong dòng đầu tiên, phù hợp với khuyến nghị của thông số kỹ thuật. Vì vậy, bạn ít nhiều đúng khi cho rằng bạn có thể chọn giá trị đầu tiên.

Thật không may, ngôn ngữ được sử dụng trong RFC cực kỳ cụ thể - việc sử dụng các từ NÊN và KHÔNG NÊN gây ra sự mơ hồ trong RFC. Những điều này chỉ ra các quy ước cần được tuân theo, nhưng không bắt buộc phải tuân theo thông số kỹ thuật. Mặc dù tôi hiểu khá rõ về RFC cho vấn đề này, nhưng tôi vẫn chưa thực hiện nghiên cứu để xem khách hàng trong thế giới thực làm gì; có thể một hoặc nhiều trình duyệt hoặc phần mềm khác hoạt động như máy khách HTTP có thể không gửi cookie đường dẫn dài nhất (ví dụ: / example ) đầu tiên trong tiêu đề Cookie:.

Nếu bạn có quyền kiểm soát giá trị của cookie và bạn muốn làm cho giải pháp của mình trở nên dễ hiểu, tốt nhất bạn nên:

1. sử dụng tên cookie khác để ghi đè trong các đường dẫn nhất định, chẳng hạn như:

   • Set-cookie: a-global = 1; Path = /; Version = 1
   • Set-cookie: a-example = 2; Đường dẫn = / example; Phiên bản = 1

2. lưu trữ đường dẫn bạn cần trong chính giá trị cookie:

   • Set-cookie: a = 1 & path = /; Path = /; Phiên bản = 1
   • Set-cookie: a = 2 & path = / example; Path = / example; Phiên bản = 1

Cả hai cách giải quyết này đều yêu cầu logic bổ sung trên máy chủ để chọn giá trị cookie mong muốn, bằng cách so sánh URL được yêu cầu với danh sách cookie có sẵn. Nó không quá đẹp. Thật không may RFC không có tầm nhìn xa để yêu cầu một con đường còn hoàn toàn ghi đè một cookie với một con đường ngắn hơn (ví dụ: trong ví dụ của bạn, bạn sẽ nhận được a = 2: Cookie chỉ ).

Không có gì sai khi có nhiều giá trị cho cùng một tên ... nếu bạn muốn chúng. Bạn thậm chí có thể nhúng ngữ cảnh bổ sung vào giá trị.

Nếu bạn không, thì tất nhiên các tên khác nhau là một giải pháp nếu bạn muốn cả hai ngữ cảnh.

Cách thay thế là gửi cùng một tên cookie với cùng một đường dẫn (và tên miền) thậm chí từ các đường dẫn cụ thể hơn. Các hướng dẫn cookie đã đặt đó sẽ ghi đè giá trị của cookie đó.

Bây giờ bạn đã biết phần quan trọng nhất (cách chúng hoạt động) và bạn có thể hoàn thành những gì bạn cần theo một vài cách khác nhau, câu trả lời của tôi cho câu hỏi của bạn là: đây là vấn đề của nhà phát triển.

Tôi chắc chắn biết về các ứng dụng làm việc này rộng rãi bằng cách sử dụng nhiều id phiên - và dường như hoạt động nhất quán. Tuy nhiên, tôi không biết - và không có ý định tìm hiểu - nếu họ làm như vậy vì trình duyệt trả về các cookie theo thứ tự nhất quán tùy thuộc vào thời điểm chúng được đặt / đường dẫn chúng được đặt hoặc liệu ứng dụng có cố gắng khớp từng một đến một phiên hiện có.

Tôi thực sự khuyên bạn nên tránh thực hành này.

Tuy nhiên, nếu bạn thực sự muốn biết cách các trình duyệt (và ứng dụng) xử lý tình huống này, tại sao không xây dựng một giàn thử nghiệm và dùng thử.

Nếu bạn sử dụng Java / Scala framework Play: hãy coi chừng! Nếu một yêu cầu chứa nhiều cookie có cùng tên, Play sẽ chỉ hiển thị 1 trong số chúng vào mã của bạn.

Nếu bạn cần phân biệt chúng, bạn phải cung cấp cho chúng các giá trị khóa khác nhau.