Вариант использования: у нас есть две службы, работающие на sender.something.com и receiver.something.com, и мы отправляем файл cookie с sender на receiver.
Согласно RFC6265 , это не должно быть возможным, поскольку:
с сайта foo.example.com, [...] пользовательский агент не будет принимать cookie с атрибутом домена «bar.example.com» или «baz.foo.example.com»
Тем не менее,
пользовательский агент примет файл cookie с атрибутом домена «example.com» или «foo.example.com» от foo.example.com
... поэтому он будет принимать cookie с доменом something.com, начиная с sender.something.com. Кроме того,
если значение атрибута Domain равно «example.com», пользовательский агент будет включать cookie в заголовок Cookie при отправке HTTP-запросов на example.com, www.example.com и www.corp.example. ком
... поэтому он будет включать наш файл cookie (с доменом, установленным на something.com) в запросах на receiver.something.com.
Это звучит так: «Он не будет принимать cookie от одного субдомена к другому, если только куки не отправляются на все субдомены» ... Но я не понимаю, почему это будет проблемой, если мы хотим отправить куки с одного субдомена на другой ...
Я что-то упустил или есть несоответствие в RFC?
Этот ответ объясняет домены cookie, но не этот конкретный случай ...