Как обрабатывается cookie для нескольких запросов CORS

Question

Допустим, у меня есть веб-приложение с доменом myapp.com. Это веб-приложение будет в основном клиентским приложением, и оно будет выполнять аутентифицированные запросы CORS (в основном устанавливающие файлы cookie) для нескольких веб-сайтов, например, abc.com и 1234.com. Есть ли способ в существующих веб-стандартах сохранить отдельные куки для abc.com и 1234.com в браузере клиента? На мой взгляд, cookie-файлы всегда устанавливаются на myapp.com, а не на запросы CORS.

Answer 1

Браузер никогда не отправит файлы cookie домена A в домен B. Если у вас есть js-код на myapp.com, который отправляет запрос CORS на abc.com, будут отправляться только файлы cookie abc.com (если для параметра withCredentials установлено значение true). В противном случае это будет нарушением Одинаковой политики происхождения

Если вы хотите полностью запретить JS-коду читать файлы cookie, возможно, вы захотите использовать HttpOnly flag