域属性是否影响 http cookie 上的 SameSite?
Does the Domain attribute affect SameSite on an http cookie?
如果 cookie 的域属性设置为客户端的域,CORS 是否会请求 set/send 具有 SameSite=Strict 的 cookie?
例如,如果我从 cors.com 向 cors-api.com 发出请求,此配置是否允许设置和发送我的 cookie?
Set-Cookie: MY_KEY=<MY_VALUE>; Secure; HttpOnly; Domain=cors.com; SameSite=Strict;
不,您不能设置与设置 cookie 的站点不匹配的 Domain 值 - 浏览器应拒绝此设置。
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie#Invalid_domains
Domain 用于控制是否为原始站点的子域发送 cookie。
https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies#Scope_of_cookies
如果您需要在跨站点上下文中发送 cookie,则必须将它们设置为 SameSite=None; Secure。
如果 cookie 的域属性设置为客户端的域,CORS 是否会请求 set/send 具有 SameSite=Strict 的 cookie?
例如,如果我从 cors.com 向 cors-api.com 发出请求,此配置是否允许设置和发送我的 cookie?
Set-Cookie: MY_KEY=<MY_VALUE>; Secure; HttpOnly; Domain=cors.com; SameSite=Strict;
不,您不能设置与设置 cookie 的站点不匹配的 Domain 值 - 浏览器应拒绝此设置。
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie#Invalid_domains
Domain 用于控制是否为原始站点的子域发送 cookie。
https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies#Scope_of_cookies
如果您需要在跨站点上下文中发送 cookie,则必须将它们设置为 SameSite=None; Secure。