Cookies 为同级域隔离同一站点cookie
我注意到,当从subdomain1.example.com向subdomain2.example.com发送ajax请求时,即使来自subdomain2的cookies具有SameSite=lax或SameSite=strict属性,也会包含在内。这与跨不相关域的请求不同(例如example1.com->example2.com),当SameSite属性存在时,请求不包括cookie 在这两种情况下,我都在服务器端使用未设置域属性的Set cookie头创建cookie。据我所知,在这种情况下,cookie与客户端的域相关联。然而,兄弟域似乎被视为单个域 我的诊断似乎通过铬项目的测试得到了证实:Cookies 为同级域隔离同一站点cookie,cookies,subdomain,samesite,Cookies,Subdomain,Samesite,我注意到,当从subdomain1.example.com向subdomain2.example.com发送ajax请求时,即使来自subdomain2的cookies具有SameSite=lax或SameSite=strict属性,也会包含在内。这与跨不相关域的请求不同(例如example1.com->example2.com),当SameSite属性存在时,请求不包括cookie 在这两种情况下,我都在服务器端使用未设置域属性的Set cookie头创建cookie。据我所知,在这种情况下,
EXPECT_TRUE(CompareDomains("http://a.x.com/file.html",
"http://b.x.com/file.html")); // x.com
这种行为是故意的还是我的测试有缺陷?
是否有可能实现兄弟域的cookie隔离,或者如果有这样的要求,那么我需要使域不相关?对于
SameSite
属性,站点映射到“可注册域”。发件人:
源站的“可注册域”是源站主机的公共后缀加上其左侧的标签。也就是说,“https://www.example.com
““的可注册域是”example.com
”
公共后缀(主要)是标签+顶级域(例如www.example.com
)或标签+通过注册的内容(例如example.github.io
或example.appspot.com
)
下未被视为跨站点请求的任何子域,例如example.com的
中包含在example.com
中的widgets.example.com
仍在同一站点上:example.com
域不被视为安全边界,因为一方控制example.com
下的所有内容。站点被视为一个独特的边界,因为project1.github.io
不同于project2.github.io