Citando dallo stesso RFC2109 hai letto:
* Un Set-Cookie da request-host x.foo.com per Domain = .foo.com sarebbe
essere accettato.
Quindi subdomain.example.com
può impostare un cookie per .example.com
. Fin qui tutto bene.
Le seguenti regole si applicano alla scelta dei valori dei cookie applicabili da
tra tutti i cookie che ha l'agente dell'utente.
Selezione del dominio
Il nome host completo del server di origine deve corrispondere al dominio
l'attributo Dominio del cookie
Quindi abbiamo una corrispondenza di dominio?
* A è una stringa FQDN e ha la forma NB, dove N è un nome non vuoto
stringa, B ha la forma .B 'e B' è una stringa FQDN. (Quindi, xycom
domain-match .y.com ma non y.com.)
Ma ora il example.com
dominio non corrisponderebbe .example.com
secondo la definizione. Ma www.example.com
(o qualsiasi altro "nome non vuoto" nel dominio) sarebbe. Questo RFC è in teoria obsoleto da RFC2965 , che ha dettato cose sul forzare un punto di riferimento per i domini sulle Set-Cookie2
operazioni.
Più importante, come notato da @Tony, è il mondo reale. Per uno sguardo a ciò che stanno facendo gli agenti utente reali, vedere
NsCookieService.cpp di Firefox 3
e
Cookie_monster.cc di Chrome
Per la prospettiva in quello che i siti attuali stanno facendo, provare a giocare con wget
utilizzo --save-cookies
, --load-cookies
e --debug
per vedere cosa sta succedendo.
Probabilmente scoprirai che in effetti la maggior parte dei siti utilizza una combinazione delle Set-Cookie
precedenti specifiche RFC con i valori "Host", implicitamente senza un punto iniziale (come fa Twitter.com ) o impostando i valori del dominio (con un punto iniziale) e reindirizzando a un server come www.example.com
(come fa google.com ).