結果オーライでdomain無指定がうまく機能している状況を目の当たりにして
どういう動きか説明する資料を作成するために、情報収集したので、備忘録しておこう。
Cookieの仕様とセキュリティ > domain指定
domain を指定しない場合は、Set-Cookie を送信したホストにのみクッキーは送信されます。 domain 属性なしで、example.com によって設定されたクッキーは www.example.com や docs.example.com には送信されません。 domain を省略した場合と、domainに今接続しているホスト名を指定した場合ではクッキーが送信される範囲が異なる点に注意が必要です。 サブドメインに送信されてはならないクッキーには domain 属性はつけてはなりません。
CookieのDomain属性は *指定しない* が一番安全 〜徳丸浩の日記
Domain属性を指定しないCookieは、Cookieを発行したホストのみに送信される
Domain属性を指定したCookieは、指定のホストおよびそのサブドメインのホストに送信される
すなわち、Domain=example.comを指定したCookieは、www.example.comにも送信されます。Domain属性を指定しないCookieは、example.comに送信され、www.example.comには送信されません。
これは、CookieのRFC2965(旧規格)、RFC6265(現規格)には明確に記述されています。
3.3.1 【中略】
Domain Defaults to the effective request-host. (Note that because there is no dot at the beginning of effective request-host, the default Domain can only domain-match itself.)
http://www.ietf.org/rfc/rfc2965.txt
4.1.2.3. The Domain Attribute
【中略】If the server omits the Domain attribute, the user agent will return the cookie only to the origin server.
http://www.ietf.org/rfc/rfc6265.txt
RFCからの引用があるとお偉い方も納得してくださる。RFC偉大。
