可以将Cookie设置为.com等顶级域名

Posted 2021-04-02

我有一个与Share cookie between subdomain and domain相关的问题 - 如果我在设置cookie时将域设置为.com，会发生什么？ Cookie是否可供所有.com网站使用？

答案

配置良好的用户代理应拒绝此类cookie，如RFC 6265 section 5.3中所述：

5. 如果用户代理配置为拒绝“公共后缀”，并且domain-attribute是公共后缀： 如果domain-attribute与规范化请求主机相同： 让domain-attribute为空字符串。 除此以外： 完全忽略cookie并中止这些步骤。

注意：“公共后缀”是由公共注册表控制的域，例如“com”，“co.uk”和“pvt.k12.wy.us”。此步骤对于防止attacker.com通过设置域属性为“com”的cookie来破坏example.com的完整性至关重要。不幸的是，公共后缀集（也称为“注册表控制域”）随着时间的推移而变化。如果可行，用户代理应该使用最新的公共后缀列表，例如由http://publicsuffix.org/的Mozilla项目维护的列表。