Cookies 为同级域隔离同一站点cookie_Cookies_Subdomain_Samesite

Cookies 为同级域隔离同一站点cookie

Cookies 为同级域隔离同一站点cookie,cookies,subdomain,samesite,Cookies,Subdomain,Samesite,我注意到，当从subdomain1.example.com向subdomain2.example.com发送ajax请求时，即使来自subdomain2的cookies具有SameSite=lax或SameSite=strict属性，也会包含在内。这与跨不相关域的请求不同（例如example1.com->example2.com），当SameSite属性存在时，请求不包括cookie 在这两种情况下，我都在服务器端使用未设置域属性的Set cookie头创建cookie。据我所知，在这种情况下，

我注意到，当从subdomain1.example.com向subdomain2.example.com发送ajax请求时，即使来自subdomain2的cookies具有SameSite=lax或SameSite=strict属性，也会包含在内。这与跨不相关域的请求不同（例如example1.com->example2.com），当SameSite属性存在时，请求不包括cookie

在这两种情况下，我都在服务器端使用未设置域属性的Set cookie头创建cookie。据我所知，在这种情况下，cookie与客户端的域相关联。然而，兄弟域似乎被视为单个域

我的诊断似乎通过铬项目的测试得到了证实：

 EXPECT_TRUE(CompareDomains("http://a.x.com/file.html",
                             "http://b.x.com/file.html"));     // x.com

这种行为是故意的还是我的测试有缺陷？

是否有可能实现兄弟域的cookie隔离，或者如果有这样的要求，那么我需要使域不相关？

对于

SameSite

属性，站点映射到“可注册域”。发件人：

源站的“可注册域”是源站主机的公共后缀加上其左侧的标签。也就是说，“

https://www.example.com

““的可注册域是”

example.com

”

公共后缀（主要）是标签+顶级域（例如

www.example.com

）或标签+通过注册的内容（例如

example.github.io

或

example.appspot.com

）

下未被视为跨站点请求的任何子域，例如

example.com的
中包含在example.com
中的widgets.example.com
仍在同一站点上：example.com

域不被视为安全边界，因为一方控制example.com
下的所有内容。站点被视为一个独特的边界，因为project1.github.io
不同于project2.github.io