Правильный способ удаления файлов cookie на стороне сервера

Question 1

Для процесса аутентификации я создаю уникальный токен, когда пользователь входит в систему, и помещаю его в файл cookie, который используется для аутентификации.

Поэтому я бы отправил с сервера что-то вроде этого:

Set-Cookie: token=$2a$12$T94df7ArHkpkX7RGYndcq.fKU.oRlkVLOkCBNrMilaSWnTcWtCfJC; path=/;

Что работает во всех браузерах. Затем, чтобы удалить файл cookie, я отправляю аналогичный файл cookie с expiresполем, установленным на 1 января 1970 года.

Set-Cookie: token=$2a$12$T94df7ArHkpkX7RGYndcq.fKU.oRlkVLOkCBNrMilaSWnTcWtCfJC; path=/; expires=Thu, Jan 01 1970 00:00:00 UTC;

И это отлично работает в Firefox, но не удаляет cookie в IE или Safari.

Итак, как лучше всего удалить cookie (желательно без JavaScript)? Метод установки срока действия в прошлом кажется громоздким. А также почему это работает в FF, но не в IE или Safari?

Question 2

Отправка того же значения cookie с ; expiresдобавлением не приведет к его уничтожению.

Сделайте файл cookie недействительным, установив пустое значение и также включив expiresполе:

Set-Cookie: token=deleted; path=/; expires=Thu, 01 Jan 1970 00:00:00 GMT

Обратите внимание, что вы не можете заставить все браузеры удалить cookie. Клиент может настроить браузер таким образом, чтобы файл cookie сохранялся, даже если срок его действия истек. Установка значения, как описано выше, решит эту проблему.

Question 3

На момент написания этого ответа в принятом ответе на этот вопрос, по- видимому, указано, что браузеры не обязаны удалять файл cookie при получении заменяющего файла cookie, Expiresзначение которого находится в прошлом. Это утверждение ложно. Установка Expiresв прошлое - это стандартный, соответствующий спецификации способ удаления файла cookie, и пользовательские агенты должны соблюдать его.

Использование Expiresатрибута в прошлом для удаления файла cookie является правильным и является способом удаления файлов cookie, указанным в спецификации. В разделе примеров RFC 6255 говорится:

Наконец, чтобы удалить cookie, сервер возвращает заголовок Set-Cookie с датой истечения срока действия в прошлом. Сервер удастся удалить cookie только в том случае, если атрибуты Path и Domain в заголовке Set-Cookie совпадают со значениями, использованными при создании cookie.

Раздел Требования к пользовательскому агенту включает следующие требования, которые вместе приводят к тому, что файл cookie должен быть немедленно удален, если пользовательский агент получает новый файл cookie с тем же именем, срок действия которого уже прошел.

Если [при получении нового файла cookie] хранилище файлов cookie содержит файл cookie с тем же именем, доменом и путем, что и новый файл cookie:

...

...

Обновите время создания вновь созданного файла cookie, чтобы оно соответствовало времени создания старого файла cookie.

Удалите старый файл cookie из хранилища файлов cookie.

Вставьте вновь созданный файл cookie в хранилище файлов cookie.

Файл cookie считается «просроченным», если срок действия cookie истек в прошлом.

Пользовательский агент ДОЛЖЕН удалить все просроченные куки из хранилища куки, если в любое время просроченный куки существует в хранилище куки.

Пункты 11-3, 11-4 и 12 выше вместе означают, что при получении нового файла cookie с тем же именем, доменом и путем, старый файл cookie должен быть удален и заменен новым файлом cookie. Наконец, приведенный ниже пункт о файлах cookie с истекшим сроком действия дополнительно диктует, что после этого новый файл cookie также должен быть немедленно удален. Спецификация не дает браузерам возможности для маневра в этом вопросе; если бы браузер предлагал пользователю возможность отключить истечение срока действия файлов cookie, поскольку принятый ответ предполагает, что некоторые браузеры это делают, то это будет нарушением спецификации. (Такая функция также мало пригодилась бы, и, насколько мне известно, ее нет ни в одном браузере.)

Почему же тогда ОП этого вопроса обнаружил, что этот подход терпит неудачу? Хотя я не очищал копию Internet Explorer от пыли, чтобы проверить его поведение, я подозреваю, что это произошло из-за Expiresнеправильного формата значения OP ! Они использовали это значение:

expires=Thu, Jan 01 1970 00:00:00 UTC;

Однако это синтаксически неверно по двум причинам.

Раздел синтаксиса спецификации диктует, что значение Expiresатрибута должно быть

rfc1123 -date, определенный в [RFC2616], раздел 3.3.1

Следуя второй ссылке выше, мы находим это в качестве примера формата:

Sun, 06 Nov 1994 08:49:37 GMT

и обнаруживаем, что определение синтаксиса ...

требует, чтобы даты были записаны в формате день месяц год , а не месяц день год , как это использует задающий вопрос.

В частности, он определяет rfc1123-dateследующее:
```
rfc1123-date = wkday "," SP date1 SP time SP "GMT"
```
и определяет date1так:
```
date1        = 2DIGIT SP month SP 4DIGIT
             ; day month year (e.g., 02 Jun 1982)
```

а также

не разрешает UTCкак часовой пояс.

Спецификация содержит следующее заявление о том, какие смещения часовых поясов допустимы в этом формате:

Все метки даты и времени HTTP ДОЛЖНЫ быть представлены в среднем времени по Гринвичу (GMT) без исключения.

Более того, если мы углубимся в исходную спецификацию этого формата даты и времени, мы обнаружим, что в исходной спецификации в https://tools.ietf.org/html/rfc822 в разделе « Синтаксис» указано «UT» (что означает «всемирное время» ) как возможное значение, но не указывает UTC (всемирное координированное время) как действительное. Насколько мне известно, использование "UTC" в этом формате даты никогда не было допустимым; это не было допустимым значением, когда формат был впервые указан в 1982 году, и спецификация HTTP приняла строго более строгую версию формата, запретив использование всех значений «зоны», кроме «GMT».

Если вопрос Аскер здесь вместо этого использовал Expiresатрибут , как это , то:

expires=Thu, 01 Jan 1970 00:00:00 GMT;

тогда это предположительно сработало бы.

Question 4

Установка истечения срока действия на прошедшую дату является стандартным способом удаления файла cookie.

Вероятно, ваша проблема связана с нестандартным форматом даты. IE, вероятно, ожидает только GMT.

Question 5

Используйте Max-Age = -1 вместо «Expires». Он короче, менее требователен к синтаксису, и Max-Age в любом случае имеет приоритет над Expires.

Question 6

Для реализации JAX-RS в GlassFish Jersey я решил эту проблему обычным методом, описав все общие параметры. По крайней мере три параметра должны быть равны: имя (= "name"), путь (= "/") и домен (= null):

public static NewCookie createDomainCookie(String value, int maxAgeInMinutes) {
    ZonedDateTime time = ZonedDateTime.now().plusMinutes(maxAgeInMinutes);
    Date expiry = time.toInstant().toEpochMilli();
    NewCookie newCookie = new NewCookie("name", value, "/", null, Cookie.DEFAULT_VERSION,null, maxAgeInMinutes*60, expiry, false, false);
    return newCookie;
}

И используйте его обычный способ установки cookie:

NewCookie domainNewCookie = RsCookieHelper.createDomainCookie(token, 60);
Response res = Response.status(Response.Status.OK).cookie(domainNewCookie).build();

и удалить cookie:

NewCookie domainNewCookie = RsCookieHelper.createDomainCookie("", 0);
Response res = Response.status(Response.Status.OK).cookie(domainNewCookie).build();