域属性是否影响 http cookie 上的 SameSite?

Does the Domain attribute affect SameSite on an http cookie?

如果 cookie 的域属性设置为客户端的域,CORS 是否会请求 set/send 具有 SameSite=Strict 的 cookie?

例如,如果我从 cors.comcors-api.com 发出请求,此配置是否允许设置和发送我的 cookie?

Set-Cookie: MY_KEY=<MY_VALUE>; Secure; HttpOnly; Domain=cors.com; SameSite=Strict;

不,您不能设置与设置 cookie 的站点不匹配的 Domain 值 - 浏览器应拒绝此设置。

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie#Invalid_domains

Domain 用于控制是否为原始站点的子域发送 cookie。

https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies#Scope_of_cookies

如果您需要在跨站点上下文中发送 cookie,则必须将它们设置为 SameSite=None; Secure