浏览器 cookie 域如何工作？

Question

由于我遇到了奇怪的域/子域 cookie 问题，我想知道浏览器如何处理 cookie。 如果他们以不同的方式做事，那么了解其中的差异也很好。

换句话说 - 当浏览器收到 cookie 时，该 cookie 可能附加一个域和一个路径。 或者不是，在这种情况下，浏览器可能会用一些默认值代替它们。 问题1：它们是什么？

稍后，当浏览器要发出请求时，它会检查其 cookie 并过滤掉应为该请求发送的 cookie。 它通过将它们与请求路径和域进行匹配来实现这一点。 问题2：匹配规则是什么？

---

Added:

我问这个问题的原因是因为我对一些边缘情况感兴趣。 例如：

• .example.com 的 cookie 是否可用于 www.example.com？
• .example.com 的 Cookie 是否可用于 example.com？
• example.com 的 Cookie 是否可用于 www.example.com？
• example.com 的 Cookie 是否可用于 anotherexample.com？
• www.example.com 是否能够为 example.com 设置 cookie？
• www.example.com 是否能够为 www2.example.com 设置 cookie？
• www.example.com 能否为 .com 设置 cookie？
• 等等

添加2：

另外，有人可以建议我如何设置cookie，以便：

• 它可以由www.example.com或example设置。 com;
• 它可以通过 www.example.com 和 example.com 访问。

Answer 1

虽然有 RFC 2965 (Set-Cookie2)，但已经过时的RFC 2109），现在应该定义cookie，大多数浏览器并不完全支持，只是遵守 Netscape 的原始规范。

Domain 属性值和有效域之间存在区别：前者取自 Set-Cookie 标头字段，后者是该属性值的解释。 根据 RFC 2965，应适用以下规则：

• 如果 Set-Cookie 标头字段不具有 Domain 属性，则有效域为请求的域。
• 如果存在 Domain 属性，则其值将用作有效域（如果该值不以 . 开头，它将由客户端添加）。

拥有有效域名，它还必须域名匹配当前请求待设置的域； 否则cookie将被修改。 同样的规则适用于选择要在请求中发送的 cookie。

---

将这些知识映射到您的问题上，应适用以下内容：

• 带有 Domain=.example.com 的 Cookie 将可用于www.example.com
• 带有 Domain=.example.com 的 Cookie 将可用对于 example.com
• 带有 Domain=example.com 的 Cookie 将转换为 .example.com，因此将也可用于 www.example.com
• 带有 Domain=example 的 Cookie。 com 将无法用于 anotherexample.com
• www.example.com 将能够为 example.com 设置 cookie
• www.example.com 将无法为www2.example.com设置 cookie em>
• www.example.com 将无法为 .com 设置 cookie

并为 www.example 设置并读取 cookie .com 和 example.com，将其设置为 .www.example.com 和 .example.com分别。 但第一个 (.www.example.com) 只能由该域以下的其他域访问（例如 foo.www.example.com 或 bar. www.example.com），其中.example.com也可以由example.com以下的任何其他域访问（例如foo.example. com 或 bar.example.com）。

Answer 2

以前的答案有点过时了。

RFC 6265 于 2011 年发布，基于当时的浏览器共识。
从那时起，公共后缀域就出现了一些复杂情况。 我写了一篇文章解释当前情况 - http://bayou.io/draft/cookie。 domain.html

总而言之，关于 Cookie 域要遵循的规则：

• Cookie 的原始域是原始请求的域。

• 如果源域是IP，则不能设置cookie的域属性。

• 如果未设置cookie的domain属性，则该cookie仅适用于其原始域。

• 如果设置了 cookie 的域属性，

  • Cookie 适用于该域及其所有子域；
  • Cookie 的域必须与原始域相同或其父域
  • Cookie 的域不得是 TLD、公共后缀或公共后缀的父级。

由此可见，cookie 始终适用于其原始域。

cookie 域不应该有一个前导点，如 .foo.com - 只需使用 foo.com

作为示例，

• xyzcom 可以设置自身或父级的 Cookie 域 - xyzcom、yzcom、z.com。 但 com 不行，它是公共后缀。
• 带有domain=yzcom的cookie适用于yzcom、xyzcom、axyzcom等。

公共后缀示例 - <代码>com、edu、uk、co.uk、blogspot.com、compute.amazonaws.com

Answer 3

我在 2019 年最新的 Chrome、Firefox、Safari 中测试了所有案例。

对已添加的响应：

• .example.com 的 cookie 是否可用于 www.example.com？ 是
• .example.com 的 cookie 是否可用于 example.com？ 是
• example.com 的 cookie 是否可用于 www.example.com？ NO，不带通配符的域名仅与自身匹配。
• example.com 的 cookie 是否可用于 anotherexample.com？ 否
• www.example.com 是否能够为 example.com 设置 cookie？ 否，它将能够为“.example.com”设置 cookie，但不能为“example.com”设置 cookie。
• www.example.com 是否能够为 www2.example.com 设置 cookie？ 不。 但它可以为.example.com设置cookie，www2.example.com可以访问该cookie。
• www.example.com 是否能够为 .com 设置 cookie？ 否

Answer 4

要获得广泛的覆盖范围，请查看 RFC2965 的内容。 当然，这并不一定意味着所有浏览器的行为方式完全相同。

但是，一般来说，如果 cookie 中未指定任何内容，则默认路径的规则是 Set-Cookie 标头到达的 URL 中的路径。 同样，域的默认值是 Set-Cookie 到达的 URL 中的完整主机名。

域的匹配规则要求 cookie 域与发出请求的主机相匹配。 cookie 可以通过 include * 指定更广泛的域匹配。 在 Set-Cookie 的域属性中（这一区域浏览器可能会有所不同）。 匹配路径（假设域匹配）很简单，请求的路径必须位于 cookie 上指定的路径内。 通常，会话 cookie 使用 path=/ 或 path=/applicationName/ 设置，因此 cookie 可用于进入应用程序的所有请求。

---

__Response to Added:__

• .example.com 的 Cookie 是否可用于 www.example.com？ 是
• .example.com 的 Cookie 是否可用于 example.com？ 不知道
• example.com 的 Cookie 是否可用于 www.example.com? 不应该但是... *
• example.com 的 cookie 是否可用于 anotherexample.com？ 否
• www.example.com 能否为 example.com 设置 cookie？ 是
• www.example.com 是否能够为 www2.example 设置 cookie。 com？ 否 （通过 .example.com 除外）
• 将会www.example。 com 可以为.com设置cookie吗？ 否 （不能在命名空间中设置如此高的 cookie，也不能为 .co.uk 之类的内容设置 cookie）。

* 我现在无法对此进行测试，但我有一个预感，至少 IE7/6 会将路径 example.com 视为 。 example.com。

Answer 5

此问题的最后一个（确切地说是第三个）RFC 是 RFC-6265（废弃 RFC-2965，进而废弃 RFC-2109）。

据此如果服务器省略了Domain属性，用户代理只会将 cookie 返回到原始服务器（给定资源所在的服务器）。 但这也是警告，一些现有的用户代理将不存在的域属性视为域属性存在并包含当前主机名（例如，如果 example.com 返回没有 Domain 属性的 Set-Cookie 标头，这些用户代理将错误地将 cookie 发送到 www.example.com以及）。

当Domain属性被指定时，它将被视为完整的域名（如果属性中有前导点，它将被忽略）。 服务器应该与属性中指定的域匹配（具有完全相同的域名或者是其子域）才能获取此 cookie。 更准确地说，此处指定。

因此，例如：

• cookie 属性 Domain=.example.com 相当于 Domain=example.com
• 具有此类 Domain 属性的 cookie 将可用对于example.com和www.example.com
• 具有此类域属性的 cookie 对于 another-example.com 将不可用，
• 指定 cookie 属性如 Domain=www.example.com 将关闭www4.example.com 的方式

PS：域属性中的尾随逗号将导致用户代理忽略该属性 =(

Answer 6

众所周知，RFC 并不反映现实。

最好检查 draft-ietf-httpstate-cookie，工作正在进行中。

Answer 7

有一些规则确定浏览器是否接受 Set-header 响应标头（服务器端 cookie 写入），使用 Javascript 设置 cookie 的规则/解释略有不同（我还没有测试 VBScript）。

然后有一些规则确定浏览器是否随页面请求一起发送 cookie。

主要浏览器引擎之间处理域匹配的方式以及如何解释路径值中的参数之间存在差异。 您可以在文章 如何不同浏览器以不同方式处理 Cookie

Answer 8

www.example.com能够为.com设置cookie吗？

不可以，但 example.com.fr 可以为 example2.com.fr 设置 cookie。 Firefox 通过维护 TLD 列表来防止这种情况的发生： http://securitylabs.websense.com /content/Blogs/3108.aspx

显然，Internet Explorer 不允许两个字母的域设置 cookie，我想这解释了为什么 o2.ie 简单地重定向到 o2online。即。 我经常想知道这一点。

Answer 9

我很惊讶地读到了关于拒绝 cookie 的第 3.3.2 节：

https://www.rfc-editor .org/rfc/rfc2965

这表示浏览器应该拒绝来自 xyzcom 且域为 .z.com 的 cookie，因为“xy”包含一个点。 因此，除非我误解了 RFC 和/或上述问题，否则可能会添加问题：

Will a cookie for .example.com be available for www.yyy.example.com？ 不会。

源服务器 www.yyy.example.com 设置的 cookie，域名为 .example。 com，用户代理是否已将其值发送到 xxx.example.com？ 不。