HTTP Cookie的域名和路径匹配

介绍

本文主要经过整理RFC6265 - HTTP State Management Mechanism文档的域名和路径匹配章节，而后加以实验验证，最后梳理出一些技术要点，仅供你们参考。

Domain Matching

假设request_domain为请求域名，cookie_domain为cookie的domain属性，若是request_domain和cookie_domain以点"."结尾，则先将尾部的点"."移除。 若是request_domain和cookie_domain知足如下任一个条件，则称request_domain和cookie_domain匹配：
** 1. request_domain和cookie_domain是同级域名，而且相等 **

• request_domain(www.google.com)和cookie_domain(www.google.com)匹配

** 2. request_domain和cookie_domain不一样级，而且cookie_domain是request_domain的后缀 **

• request_domain(www.google.com)和cookie_domain(google.com)匹配
• request_domain(www.google.com)和cookie_domain(.google.com)匹配
• request_domain(img.static.google.com)和cookie_domain(static.google.com)匹配

cookie_domain(google.com)和cookie_domain(.google.com)匹配全部子域名

不匹配示例：

• request_domain(google.com)和cookie_domain(www.google.com)不匹配
• request_domain(abc.google.com)和cookie_domain(c.google.com)不匹配

Path Matching

假设request_path为请求路径，cookie_path为cookie的path属性。 若是cookie_path和request_path知足如下任一个条件，则称cookie_path和request_path匹配：
** 1. cookie_path和request_path是同级路径，而且相等 **

• request_path(/)和cookie_path(/)
• request_path(/a)和cookie_path(/a)

** 2. cookie_path和request_path不是同级路径，而且cookie_path是request_path的前缀 **

• request_path(/a)和cookie_path(/)
• request_path(/a/b)和cookie_path(/a)

cookie_path(/)匹配全部request_path

不匹配示例：

• request_path(/a)和cookie_path(/a/)
• request_path(/ab)和cookie_path(/a)

Set-Cookie

假设当前请求的域名是request_domain, 响应中Set-Cookie的域名是cookie_domain，路径是cookie_path，则：

• 若是cookie_domain未指定，则默认为request_domain。
• 若是cookie_path未指定，则默认为/。
• request_domain必须匹配cookie_domain，不然浏览器会丢弃该Set-Cookie
  例如request_domain(www.google.com)的响应中包含一个Set-Cookie，其cookie_domain为api.google.com，则浏览器会丢弃该Set-Cookie。

Cookie能够跨端口共享吗？

能够的，只要同时知足Domain Match和Path Match便可。

参考文档

• RFC6265 - HTTP State Management Mechanism