为清除站点数据/子域指定域级别

Posted 2023-02-19

【中文标题】为清除站点数据/子域指定域级别

【英文标题】：Specify Domain Level for Clear-Site-Data / Subdomains

【发布时间】：2022-01-15 08:47:37

【问题描述】：

我们使用Clear-Site-Data 标头在注销时清除cookie 和其他数据。

如果此标头与https://example.com/clear-cookies 的响应一起传递，则同一域https://example.com 和任何子域（如https://stage.example.com 等）上的所有cookie 都将被清除。

现在这是一个问题，如果其他系统在子域上运行。

我还想知道像“example.co.uk”这样的域会发生什么 - 这是否意味着所有英国公司域的所有数据都已清除？

浏览器如何确定要清除的域？会受到影响吗？

我们想在oursystem.example.org 上使用它，以便它只清除oursystem.example.org 而不是othersystem.example.org

【参考方案1】：

查看w3c specification 后，Clear-Site-Data 似乎只会清除指定的域，包括它的子域。因此，如果您清除example.co.uk，它也会清除system.example.co.uk。如果您清除anothersystem.example.co.uk，它也会清除a.anothersystem.example.co.uk 及其所有子域。这是帮助我理解它的example。

因此，如果您清除 oursystem.example.org，它将不会对 othersystem.example.org 产生任何影响，但会对 a.oursystem.example.org 产生影响。

【讨论】：

我不认为这在我们的案例中是正确的。无法指定域。我们得到了一个子域的响应，它也对兄弟域产生了影响。

我再次测试了它，它不容易重现，但它似乎清理了整个域，而不仅仅是我在 Chrome 94 上的子域。我想知道 CORS 标头是否影响清除范围。