如果cookie的domain属性设置为客户端的域,CORS请求会使用SameSite=Strict设置/发送cookie吗?
例如,如果我从cors.com到cors-api.com发出请求,此配置是否允许设置和发送我的cookie?
Set-Cookie: MY_KEY=<MY_VALUE>; Secure; HttpOnly; Domain=cors.com; SameSite=Strict;
答案 0 :(得分:1)
否,您不能设置与设置Cookie的网站不匹配的Domain值-浏览器应拒绝该值。
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie#Invalid_domains
Domain用于控制是否向原始站点的子域发送cookie。
https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies#Scope_of_cookies
如果您需要在跨站点上下文中发送cookie,则必须使用SameSite=None; Secure设置它们。