Firefox пропускает файлы cookie через домены хоста Websocket

Question

В Firefox 9 и 10 с использованием Firebug и Live Headers, Я вижу, что пары запросов / ответов веб-сокетов отправляются по доменам, но с неправильным файлом Cookie: содержимое.

Дайте два URL -

Базовая веб-страница - http://www.mysite.test/mywebapp

URL веб-сокета - http://stompeserver.mysite.test/stomp

Похоже, что браузер отправляет куки для имени хоста базовой страницы, а не любые куки, связанные с дополнительным именем хоста. то есть файл cookie JSESSIONID, загруженный с базовой веб-страницы, передается на внешнее соединение.

Это ошибка или ожидаемое поведение? Нигде я не видел, как веб-розетки реагируют на куки.

IMO, это может быть действительно серьезным нарушением безопасности, если файлы cookie сайта используются внешней службой сокетов.

---

Обновлен до Firefox 10 и до сих пор вижу проблему.

Ниже приведена слегка уточненная трассировка Live Headers двух соединений спина к спине

Файлы cookie JSESSIONID и CLIENT_LOCALE копируются с 9443 сервера приложений на 61623 сервер mq.

----------------------------------------------------------
https://myapp.com:9443/server/themes/standard/public/gwt/xxstandard/images/logout-icon.png

GET https://myapp.com:9443/server/themes/standard/public/gwt/xxstandard/images/logout-icon.png HTTP/1.1
Host: myapp.com:9443
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:10.0.1) Gecko/20100101 Firefox/10.0.1
Accept: image/png,image/*;q=0.8,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
Referer: https://myapp.com:9443/server/example.htm?gwt.codesvr=127.0.0.1:9997&log_level=INFO
Cookie: JSESSIONID=0000wCOpgfIsSNOz2lL22O5LOiI:-1; CLIENT_LOCALE=en_US; 
Pragma: no-cache
Cache-Control: no-cache

HTTP/1.1 200 OK
Date: Thu, 16 Feb 2012 19:02:55 GMT
Content-Type: text/plain
Last-Modified: Wed, 29 Jun 2011 20:44:11 GMT
Content-Length: 669
Content-Language: en-US
Server: WebSphere Application Server/7.0
----------------------------------------------------------
http://myapp.com:61623/stomp

GET http://myapp.com:61623/stomp HTTP/1.1
Host: myapp.com:61623
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:10.0.1) Gecko/20100101 Firefox/10.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Proxy-Connection: keep-alive
Sec-WebSocket-Version: 8
Sec-WebSocket-Origin: https://myapp.com:9443
Sec-WebSocket-Key: FToA/HGiVQN3CbGOgNffMA==
Cookie: JSESSIONID=0000wCOpgfIsSNOz2lL22O5LOiI:-1; CLIENT_LOCALE=en_US; 
Pragma: no-cache
Cache-Control: no-cache
Upgrade: websocket
Connection: Upgrade

HTTP/1.1 101 Switching Protocols
Upgrade: WebSocket
Connection: Upgrade
Sec-WebSocket-Accept: 5lqrLU4mbPiEasSn4gqOlqWvGgw=
----------------------------------------------------------

Answer 1

Политика одного происхождения и CORS не применяются к WebSockets.

В случае WS в исходном рукопожатии при открытии WS отправляется HTTP-заголовок "origin", а для браузеров этот заголовок origin ДОЛЖЕН содержать имя хоста сервера, который изначально обслуживал HTML / JS, открывающий WS.

Сервер WS может свободно принимать / отклонять.

В клиентах WS без браузера заголовок источника может присутствовать или не присутствовать и может содержать что-либо.

Cookies: не указано в спецификации WS. Смотрите ответ Патрика (Firefox WS developer) здесь

http://www.ietf.org/mail-archive/web/hybi/current/msg08017.html