當前的cookie規范是RFC 6265，它取代了RFC 2109和RFC 2965（這兩個RFC現在都被標記為“歷史性”）并且正式化了cookie的實際使用語法。它明確指出：

1. 介紹

...

由于歷史原因，cookie包含許多安全和隱私信息。例如，服務器可以指示給定的cookie用于“安全”連接，但Secure屬性在存在活動網絡攻擊者時不提供完整性。 同樣，給定主機的cookie在該主機上的所有端口之間共享，即使Web瀏覽器使用的通常的“同源策略”隔離了通過不同端口檢索的內容。

并且：

8.5。弱機密性

Cookie不提供端口隔離。如果cookie在一個端口上運行的服務可讀，則cookie也可由在同一服務器的另一個端口上運行的服務讀取。如果cookie在一個端口上可由服務寫入，則cookie也可由在同一服務器的另一個端口上運行的服務寫入。出于這個原因，服務器不應該在同一主機的不同端口上運行相互不信任的服務，并使用cookie來存儲安全敏感信息。

根據RFC2965 3.3.1（瀏覽器可能會或可能不會遵循），除非通過標頭的port參數明確指定端口，否則Set-Cookiecookie可能會也可能不會發送到任何端口。

谷歌的瀏覽器安全手冊說：默認情況下，cookie范圍僅限于當前主機名上的所有URL - 而不是綁定到端口或協議信息。以后有些行沒有辦法將cookie限制為單個DNS名稱[...]同樣，沒有辦法將它們限制在特定端口。（另外，請記住，IE根本不會將端口號計入其同源策略中。）

因此，依賴任何明確定義的行為似乎并不安全。