Origin Cookies
GoogleのMike West氏による、Cookieに対する拡張が提案されている。
draft-west-origin-cookies-01では、同一生成元ポリシーと同様なセキュリティポリシーでCookieを扱えるように、Cookie(RFC6265)に"Origin"属性を追加し、HTTPヘッダに"Origin-Cookie"ヘッダを新しく定義する。
"Origin-Cookie"はセットされた時のオリジンと一致するオリジンに対してのみ提出される。
(間違いがあるかもしれません、ご注意下さい)
例
Origin Cookieは、set-cookieヘッダにOrigin属性をつけることでセットされる。
Set-Cookie: SID=31d4d96e407aad42; Secure; HttpOnly; Origin
コレを受け取ったユーザエージェントは、HTTPリクエストを送る際、受け取ったCookie情報をOrigin-Cookieにセットし送信する。Non-Origin Cookieは今までどおりCookieヘッダで送信する。
Origin-Cookieを使用することで、サーバ側はそうでないNon-Origin Cookieと簡単に区別することが出来ます。
Origin-Cookie: SID=31d4d96e407aad42 Cookie: lang=en-US