Blant mange andre mekanismer som benyttes for sikring av web-trafikk gjennom lastbalanserer, sørges det for at cookies som identifiseres som session cookies (eller på andre måter regnes som sensitive) får attributtet HttpOnly satt.
Det som nå endres er en forbedring av logikken som håndterer dette. Med denne forbedringen vil vi sørge for at sikringen bedre dekker når flere cookies settes samtidig (altså i samme respons med flere Set-Cookie headere), samt når flere cookies settes i samme header (såkalt header folding, hvilket er frarådet for cookies). I tillegg vil cookies med prefix også omfattes av logikken. Dette er med andre ord ikke en endring fra tidligere oppførsel, men en innstramming som vil sørge for at gjeldende oppførsel vil fungere med flere kombinasjoner av attributter og måter å sette cookies på, og vil dekke cookies med flere navn enn tidligere.
I samme runde vil også flere direktiv for Permissions-Policy legges til, med restriktive default-verdier, for å supplere den eksisterende listen. Direktiv som allerede settes av tjenesten vil ikke overskrives, men dersom tjenesten benytter noen av disse APIene uten å sette direktiv og erklære egnet (fortrinnsvis restriktivt) scope i Permissions-Policy, vil tilgang kunne nektes av nettleser.
Direktivene dette gjelder er:
- storage-access
- publickey-credentials-get
- publickey-credentials-create
- identity-credentials-get
- idle-detection
- local-fonts
- otp-credentials
- window-management
- conversion-measurement
Ettersom endringene har kjørt lenge i test ventes det ikke at dette skal være merkbart, men dersom tjenesteeiere opplever negative konsekvenser som følge av dette, kan man kontakte www-drift.