假设我在 www.example.com 有一个站点,其中有一个指向 ASP.NET 站点 myapp.othersite.com 的 IFRAME - 这会导致会话和我理解的第 3 方 cookie。
如果我将嵌入式应用程序移至 myapp.example.com,会话 cookie 是否仍算作第 3 方 cookie,因为它是不同的子域?
【问题讨论】:
标签: iframe cookies subdomain privacy
如果您在域 .example.com 上设置 Cookie
那么来自 www.example.com 和 www.myapp.example.com 的 cookie 将被视为相同。
没有任何 cookie 被视为 3rd 方 cookie。
【讨论】:
如果 Cookie 来自不同的基域(基域为 example.com 或 example.co.uk),它们似乎被视为第 3 方,但如果它们来自同一基域的不同子域,则不会。
myapp.example.com 将能够设置 带有域 myapp.example.com 的 cookie,前提是它嵌入在 www.example.com 中。
没有必要让myapp.example.com 使用域.example.com 设置cookie,除非这些cookie 需要从不同的子域读取。
[在 Firefox、Chrome(阻止 3rd 方 cookie)和 Safari 中测试] [ThirdPartyUtil.IsThirdPartyInternal 似乎是在 Firefox 中检查的地方]
【讨论】:
假设没有在相关 cookie 上设置域属性,在这种情况下,由于主机名不同,它确实是第三方 cookie。但是,通常会阻止第三方 cookie 的浏览器不会阻止它,因为基本域相同。因此,在这方面它不被视为第三方 cookie。
我知道这一点是因为当基域相同而子域不同时,我能够成功设置和读取第三方 cookie,而第三方 cookie 在最新版本的 Firefox、Chrome 和 Microsoft Edge 浏览器中被阻止设置。即使没有在 cookie 上设置域属性也是如此。这意味着 Firefox、Chrome 和 Microsoft Edge 不会将来自同一基本域的 cookie 视为第三方 cookie。
我的方法如下。我有两个不同的主机名,它们具有相同的基域但不同的子域。其中之一包含两个 PHP 文件。第一个设置一个带有随机 cookie 名称且没有域属性的 cookie,并将 cookie 的名称作为 JSONP 返回。第二次尝试读取 cookie,然后返回 true 或 false 作为 JSONP。另一个主机名包含一个 HTML 文件,该文件使用 AJAX 查询设置 cookie 的第一个 PHP 文件,然后在完成后立即再次使用 AJAX 查询第二个 PHP 文件,该文件测试是否存在 cookie。在继续之前,我首先确保浏览器阻止了第三方 cookie。我测试了三种浏览器:Firefox、Chrome 和 Microsoft Edge。在所有情况下,结果都表明 cookie 已成功设置和读取,即使 cookie 来自不同的域,只要基本域相同。
结论:如果某个资源设置了cookie,并且该资源上的基域与网站上的基域相同,但子域不同,则流行浏览器不会将其视为第三方cookie。
【讨论】: