CookieとSession

　ふと閃いたので、記録しておく。
ウェブ・プログラミングの世界において、Cookie がサイトごとに保存されるのは承知の事です。で、Cookie の使い方には、二種類あって、

1. Session を越えて永続的な状態の保存
2. 認証をバイパスするためのチケットの保存

という使い方になっているのではないでしょうか？（１）の使い方に関しては、ブラウザでも読み出しが必要で、この状態を元に JavaScript で処理をします。（２）の使い方は、サーバ・サイドでチケットを確認して不正なチケットならログイン・ページへ飛ばすという使い方です。

　現在、Cookie はドメイン・レベルを絞る形でセキュリィティを確保していますが、（２）のタイプに関しては、ブラウザ（JavaScriptなど）から取得する手段を一切失くしてしまえば、少なくともクロス・サイト・スクリプティングの問題は無くなるのではないか？と思ったわけです。

　つまり、Cookie を二種類にするような規格化すればいいじゃねーの?