Udostępnij plik cookie między subdomeną i domeną

Nie jestem pewien, czy odpowiedź @ cmbuckley pokazuje pełny obraz. To co czytam to:

O ile atrybuty pliku cookie nie wskazują inaczej, plik cookie jest zwracane tylko do serwera origin (a nie np. do jakiegokolwiek subdomeny), a wygasa po zakończeniu bieżącej sesji (jako zdefiniowane przez agenta użytkownika). Agenci użytkownika ignorują nierozpoznane pliki cookie.

RFC 6265

Również

8.6.  Weak Integrity

   Cookies do not provide integrity guarantees for sibling domains (and
   their subdomains).  For example, consider foo.example.com and
   bar.example.com.  The foo.example.com server can set a cookie with a
   Domain attribute of "example.com" (possibly overwriting an existing
   "example.com" cookie set by bar.example.com), and the user agent will
   include that cookie in HTTP requests to bar.example.com.  In the
   worst case, bar.example.com will be unable to distinguish this cookie
   from a cookie it set itself.  The foo.example.com server might be
   able to leverage this ability to mount an attack against
   bar.example.com.

Dla mnie oznacza to, że możesz Chroń pliki cookie przed czytaniem przez subdomenę/domenę, ale nie możesz zapobiec zapisywaniu plików cookie do innych domen. Więc ktoś może przepisać pliki cookie Twojej witryny, kontrolując inną subdomenę odwiedzaną przez tę samą przeglądarkę. Co może nie być wielkim zmartwieniem.

Awesome cookies test site provided by @ cmbuckley / for those that missed it in his answer like me; worth scrolling up and upvoting/:

• http://scripts.cmbuckley.co.uk/cookies.php

Proszę pamiętać, że można ustawić plik cookie z subdomeny na domenie.

(wysłana w odpowiedzi na zapytanie subdomain.mydomain.com)

Set-Cookie: name=value; Domain=mydomain.com // GOOD

Ale nie możesz ustawić pliku cookie z domeny na subdomenie.

(wysłana w odpowiedzi na zapytanie mydomain.com)

Set-Cookie: name=value; Domain=subdomain.mydomain.com // Browser rejects cookie

Zgodnie ze specyfikacją RFC 6265 sekcja 5.3.6 model pamięci

Jeśli kanoniczny request-host Nie domain-match atrybut domain -: Ignoruj plik cookie całkowicie i przerwij te kroki.

I RFC 6265 sekcja 5.1.3 dopasowanie domeny

Dopasowanie Domeny

A string domain-dopasowuje dany łańcuch domeny, jeśli posiada co najmniej jeden z następujących warunków:

1. Łańcuch domeny i łańcuch są identyczne. (Zauważ, że zarówno ciąg domenowy i ciąg będzie kanoniczny do małe litery w tym momencie.)

2. Wszystkie następujące warunki:

   • Łańcuch domeny jest sufiksem łańcucha.

   • Ostatni znak łańcucha, który nie jest zawarty w łańcuch domeny to %x2E (".").

   • Łańcuch jest nazwą hosta (tzn. nie adresem IP).

Więc "subdomain.mydomain.com" domeny-mecze "mydomain.com", ale " mydomain.com" nie pasuje do domeny "subdomain.mydomain.com"

Sprawdź tę odpowiedź również.

Oto przykład użycia DOM cookie API ( https://developer.mozilla.org/en-US/docs/Web/API/Document/cookie ), więc możemy zobaczyć na własne oczy zachowanie.

Jeśli wykonamy następujący JavaScript:

Dokument.cookie = "klucz = wartość"

Wygląda na to samo co wykonanie:

Dokument.cookie = "klucz = wartość;domain=mydomain.com"

Klucz cookie staje się dostępny (tylko) w domenie mydomain.com .

Teraz, jeśli wykonasz następujący JavaScript na mydomain.com:

Dokument.cookie = "klucz = wartość;domain=.mydomain.com"

Klucz cookie staje się Dostępny dla mydomain.com jak również subdomain.mydomain.com .

Wreszcie, jeśli spróbujesz wykonać następujące czynności na subdomain.mydomain.com:

Dokument.plotdata = "klucz=wartość;domain=.mydomain.com"

Czy klucz cookie staje się Dostępny dla subdomain.mydomain.com ? byłem nieco zaskoczony, że jest to dozwolone; założyłem, że byłoby to naruszenie bezpieczeństwa dla subdomeny, aby móc ustawić plik cookie na domenie nadrzędnej.

Bądź ostrożny, jeśli pracujesz na localhost ! Jeśli przechowujesz plik cookie w js w ten sposób:

document.cookie = "key=value;domain=localhost"

Może nie być dostępna dla Twojej subdomeny, jak sub.localhost. Aby rozwiązać ten problem, musisz użyć Virtual Host . Dla exemple można skonfigurować swój wirtualny host z ServerName localhost.com Następnie będziesz mógł przechowywać plik cookie na swojej domenie i subdomenie w następujący sposób:

document.cookie = "key=value;domain=localhost.com"

W obu przypadkach tak może, i jest to domyślne zachowanie zarówno dla IE, jak i Edge.

Inne odpowiedzi dodają cennego wglądu, ale głównie opisują zachowanie w Chrome. ważne jest, aby pamiętać, że zachowanie jest zupełnie inne W IE. Bardzo pomocny skrypt testowy CMBuckley pokazuje, że w (powiedzmy) Chrome Pliki cookie nie są współdzielone między rootem i subdomenami, gdy nie podano domeny. Jednak ten sam test w IE pokazuje, że są one współdzielone. Ten przypadek IE jest bliższy opis take-home w linku www-or-not-www. Wiem, że tak jest, ponieważ mamy system, który używał różnych plików cookie servicestack zarówno na głównej, jak i subdomenie. Wszystko działało dobrze, dopóki ktoś nie dostał się do niego w IE i oba systemy walczyły o to, czyje ciasteczko sesji wygra, dopóki nie wysadziliśmy pamięci podręcznej.

Proste rozwiązanie

setcookie("NAME", "VALUE", time()+3600, '/', EXAMPLE.COM);

Odniesienie: http://php.net/manual/en/function.setcookie.php