设置cookie的"域"可以值任何域吗
例如:
登录www.google.com
时,
请求一个到facebook.com
的xhr
并用响应报头CCD_ 3进行响应。
cookie是否会成功设置为domain=twitter.com
否。它不能HTTP客户端、用户代理和web浏览器需要拒绝任何指定与当前文档来源不匹配的Domain=
的Set-Cookie
标头。
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie
用户代理应拒绝不包括设置cookie的服务器的域的cookie。
如果由
originalcompany.com
上托管的服务器设置以下cookie,则将拒绝:Set-Cookie: qwerty=219ffwef9w0f; Domain=somecompany.co.uk
服务域的子域的cookie将被拒绝。
如果由
example.com
上托管的服务器设置以下cookie,则将拒绝:Set-Cookie: sessionId=e8bb43229de9; Domain=foo.example.com
Set-Cookie
标头的Domain=
参数允许子域的网站允许其父域网站使用其cookie,但不能反过来。
请注意,浏览器知道ccTLD的结构,因此example.co.uk
的网站不能使用Set-Cookie, Domain=co.uk
,但subdomain.example.co.uk
的网站可以使用Set-Cookie, Domain=example.co.uk
。