Miután kifejtettük, hogy a HTTP-sütik miért és hogyan lettek elengedhetetlenek az internet felhasználói élményében, illetve bemutattuk a kezelésüket, ideje részletesebben elmerülni a témában. A sütik ugyanis hiába “csak” kis szövegfájlok, igen speciális tulajdonságokkal rendelkeznek. Íme a legfontosabb jellegzetességek!
Domain
A sütik esetében meghatározható, hogy mely domainek fogadhatják azokat. Minden erre a célra beállított domain esetében az összes aldomain is fogadja a sütiket.
A domain megadása kulcsfontosságú, ennek hiányában ugyanis a süti újra és újra visszakerül a szerverre, ahol létrehozták, így nem is hasznosul.
Nem hivatalos megnevezés, de a szakmabeliek “bucket”, vagyis vödör néven emlegetik azt a korlátozást, amit beállítanak a sütik és domainek kapcsán. A domainekhez ugyanis megadnak egy maximális süti számot, hogy a sütik túl magas száma ne rontsa a honlap teljesítményét.
Útvonal
“Path” jelzéssel adják meg a szövegfájlban, hogy milyen létező útvonalak esetében jelenik meg az adott süti.
Ha például a Rackhost Tudásbázishoz akarnánk sütit rendelni, akkor a “Path=/tudasbazis” kódnak is szerepelnie kell – ebben az esetben a főoldalon és az összes cikkünk megnyitása esetében zöld utat kapna a süti.
Ez tehát a süti hatásköre, a böngésző számára meghatározza, hogy a szerver mely útvonala esetében aktiválja a sütit. Ez a korlátozás növeli a biztonságot és a honlap teljesítményét. Minél pontosabban van megadva a süti útvonala, annál szűkebb a hatásköre.
Lejárati dátum vagy időtartam
A sütik élettartama is szabályozható, időtartam és konkrét dátum meghatározásával is. Nemcsak azt lehet megadni, hogy meddig használják a sütiket, hanem azt is, hogy mennyi ideig kell azokat tárolni a látogató eszközén. Az időtartamot általában másodpercben adják meg.
A lejárati dátum elérésekor vagy a meghatározott időtartam lejárta esetén a sütiket automatikusan törlik a látogató eszközéről.
Amennyiben nincs megadva a lejárati dátum vagy időtartam, ún. “munkamenet süti” minősítést kap. Ilyenkor a süti abban a pillanatban törlődik az eszközről, ahogy befejezzük az adott munkamenetet – tehát amikor bezárjuk azokat az ablakokat, amelyeken a sütihez rendelt domainek és aldomainek voltak megnyitva, vagy bezárjuk magát a böngészőt.
SameSite
A “SameSite” néven emlegetett jellemző a sütik honlapon átívelő viselkedését szabályozzák, hozzájárulva a CSRF- és XSRF-támadások elleni védelemhez. A webhelyek közötti süti kéréseket korlátozzák, vagyis amikor egy linkre kattintva másik oldal nyílik meg a böngészőben.
A SameSite tulajdonság tehát lehetővé teszi, hogy eldöntsük, a szerverek küldjenek-e sütiket a linkre kattintás után, és ha igen, milyen esetben.
3 típusú SameSite-szabályozás létezik:
- Szigorú: teljesen korlátozza a weboldalak közötti süti megosztást, a süti tehát csak akkor érhető el, ha azt az oldalt látogatjuk meg, amelyhez beállították.
- Laza: elküldik a sütit, de csak akkor, ha azonos domainhez tartozó oldalt nyitunk meg.
- Nincs szabályozás: lehetővé teszi a harmadik féltől származó sütiknek a felhasználó weboldalakon átívelő követését.