Les 2 domaines mydomain.com
et subdomain.mydomain.com
ne peuvent partager des cookies que si le domaine est explicitement nommé dans l'en- Set-Cookie
tête. Sinon, la portée du cookie est limitée à l'hôte de la demande. (Il s'agit d'un "cookie d'hôte uniquement". Voir Qu'est-ce qu'un cookie d'hôte uniquement? )
Par exemple, si vous avez envoyé l'en-tête suivant subdomain.mydomain.com
, le cookie ne sera pas envoyé pour les demandes à mydomain.com
:
Set-Cookie: name=value
Cependant, si vous utilisez ce qui suit, il sera utilisable sur les deux domaines:
Set-Cookie: name=value; domain=mydomain.com
Ce cookie sera envoyé pour tout sous-domaine de mydomain.com, y compris les sous-domaines imbriqués comme subsub.subdomain.mydomain.com
.
Dans la RFC 2109 , un domaine sans point de tête signifiait qu'il ne pouvait pas être utilisé sur des sous-domaines, et seul un point de tête ( .mydomain.com
) lui permettrait d'être utilisé sur plusieurs sous-domaines (mais pas le domaine de niveau supérieur, donc ce que vous demandez était pas possible dans l'ancienne spécification).
Cependant, tous les navigateurs modernes respectent la nouvelle spécification RFC 6265 et ignoreront tout point de tête, ce qui signifie que vous pouvez utiliser le cookie sur les sous-domaines ainsi que le domaine de premier niveau.
En résumé, si vous définissez un cookie comme le deuxième exemple ci-dessus mydomain.com
, il serait accessible par subdomain.mydomain.com
, et vice versa. Cela peut également être utilisé pour autoriser sub1.mydomain.com
et sub2.mydomain.com
partager des cookies.
Voir également: