如何停止向每个请求的服务器发送cookie

Question

请考虑我的cookie大小大于5KB，这是客户端生成的机密数据，其他人无法看到该数据。

所以我试图限制数据发送请求。有什么办法可以告诉不要发送这个cookie与请求？

作为每cookies规格

当将请求发送到原服务器，所述用户代理包括：如果它已经存储了适用于该请求饼干一个Cookie请求头。

什么是给希望是规范是存储的cookie是适用于请求。

如何使它不适用于请求？

那么这是不可能的？有没有办法像我们设置http-only那样配置web.xml？

<session-config> 
     <cookie-config> 
     <http-only>true</http-only> 
     </cookie-config> 
    </session-config> 

Answer 1

The limit每域的Cookie是约4KB，你已经超过。因此，您应该将所有机密信息放入会话表而不是cookie中。

Answer 2

HTTP规范规定，所有cookie数据都需要与每个请求一起发送，因为服务器可能需要它。如果你不想这样做，那么不要将数据存储在cookie中，而是使用不同的方法来存储这些敏感信息。

有一个很好的机会，这个敏感信息结束在目标服务器的访问日志中，这是另一个在这种情况下不使用cookie的原因。