我正在开发一个应用程序,我将在Heroku上部署.该应用程序仅iframe在另一个站点上使用,因此我不关心域名.我计划部署我的应用程序,example.herokuapp.com而不是使用自定义域example.com.
我的应用程序使用cookie,我想确保其他人无法操纵我的cookie以保护我的应用程序免受会话固定和类似攻击.如果attacker.herokuapp.com能够设置cookie herokuapp.com,浏览器将无法保护我,因为herokuapp.com它不是公共后缀.有关该问题的详细说明,请参见http://w2spconf.com/2011/papers/session-integrity.pdf.
我的问题是:当浏览器无法保护我的用户时,Heroku会通过阻止cookie来实现herokuapp.com吗?