| /domain属性 /security |
Contents
Cookie の Domain 属性と SameSite 属性の違い https://www.kanzennirikaisita.com/posts/cookie-domain-same-site-difference
結論
結論としては、Cookie の Domain 属性は送信「先」の制限、SameSite は送信「元」の制限という違いです。
Domain 属性は Cookie を送る先を設定するもので、誤って設定すると第三者のサイトに Cookie を送信することになり、セッションハイジャックが発生する可能性があります。
SameSite 属性は Cookie を送信するもとになるサイトを指定する属性で、CSRF 攻撃に対するいくらかの防御を提供します。
設定内容も目的も全く異なるものなので、どちらか片方を設定すればいいというものではなく、両方の設定について考える必要があります。
Domain 属性
サブドメインの異なるサービス間で cookie を共有する https://qiita.com/il-m-yamagishi/items/9aad5737c80d5bfd5eb8
1. Grok
親ドメインとの共有: domain 属性を親ドメイン(例: example.com)に設定することで、親ドメイン自体(example.com)およびすべてのサブドメイン(sub1.example.com、sub2.example.com など)でクッキーが利用可能になります。 親ドメインとの共有:domain=.example.com のようにドット付きで親ドメインを指定した場合、親ドメイン(example.com)自体もクッキーにアクセスできます。 ただし、domain=example.com(ドットなし)とした場合、親ドメインのみに限定され、サブドメインではアクセスできません。