<br><br><div class="gmail_quote">On Thu, Jan 28, 2010 at 12:12 AM, Fumitoshi Ukai (鵜飼文敏) <span dir="ltr"><<a href="mailto:ukai@chromium.org">ukai@chromium.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
May/Should WebSocket use HttpOnly cookie while Handshaking?</blockquote><div>WebSocket is a "stateful" protocol, and its cookie support is only applicable in interacting with the HTTP context  .. and therefore the spec should simply refer to what's specified for HTTP for clarification ... </div>
<div><br></div><div>- Wenbo</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div>I think it would be useful to use HttpOnly cookie on WebSocket so that we could authenticate the WebSocket connection by the auth token cookie which might be HttpOnly for security reason.<br>


<div><br></div><div><a href="http://www.ietf.org/id/draft-ietf-httpstate-cookie-02.txt" target="_blank">http://www.ietf.org/id/draft-ietf-httpstate-cookie-02.txt</a></div><div><br></div><div>-- </div><div>ukai</div><div>
<br></div></div>

</blockquote></div><br>