我有在gala.apples.mydomain.com和oranges.mydomain.com上运行的Web应用程序。
oranges.mydomain.com仅在其域上存储了一个cookie,我想使用iframe将其嵌入到gala.apples.mydomain.com中。
即使第三方Cookie在Chrome和Firefox中被阻止,当在gala.apples.mydomain.com内的iframe中,两种浏览器仍允许传递oranges.mydomain.com的cookie。
我认为这将被阻止,并且其工作方式类似于CORS认为这两个独立的起源。
我找不到有关如何将cookie视为第三方的任何规则。
答案 0 :(得分:0)
此操作的详细信息可能取决于浏览器,因为阻止第三方cookie并非默认行为,并且不受任何规范的要求,与same-origin policy不同,后者对于网络的安全性至关重要。
对于Firefox,我知道的唯一文档是在源代码中:mozIThirdPartyUtil.idl。
它确认“基本域”的不同子域之间不被视为第三方。我想原因是: