Я заметил, что при отправке ajax-запроса с subdomain1.example.com на subdomain2.example.com куки-файлы с subdomain2 включаются, даже если они имеют SameSite= lax или SameSite = строгий атрибут.Это не похоже на запрос для несвязанных доменов (например, example1.com -> example2.com ), который не включает файлы cookie при наличии атрибута SameSite.
В обоихЯ создаю cookie на стороне сервера, используя заголовок Set-Cookie с не установленным атрибутом Domain.Насколько я понимаю, в таком случае cookie связан с доменом клиента.Однако доменные братья и сестры, похоже, рассматриваются как один домен.
Мой диагноз подтверждается этим тестом в проекте хрома:
EXPECT_TRUE(CompareDomains("http://a.x.com/file.html",
"http://b.x.com/file.html")); // x.com
https://github.com/chromium/chromium/blob/master/net/base/registry_controlled_domains/registry_controlled_domain_unittest.cc
Такое поведение преднамеренное или в моем тесте есть какой-то недостаток?Можно ли обеспечить изоляцию файлов cookie для доменов-братьев и сестер или, если есть такое требование, нужно сделать домены не связанными?