本文主要通过整理RFC6265 - HTTP State Management Mechanism文档的域名和路径匹配章节,然后加以实验验证,最后梳理出一些技术要点,仅供大家参考。
假设request_domain为请求域名,cookie_domain为cookie的domain属性,如果request_domain和cookie_domain以点"."结尾,则先将尾部的点"."移除。 如果request_domain和cookie_domain满足以下任一个条件,则称request_domain和cookie_domain匹配: ** 1. request_domain和cookie_domain是同级域名,并且相等 **
** 2. request_domain和cookie_domain不同级,并且cookie_domain是request_domain的后缀 **
cookie_domain(google.com)和cookie_domain(.google.com)匹配所有子域名
不匹配示例:
假设request_path为请求路径,cookie_path为cookie的path属性。 如果cookie_path和request_path满足以下任一个条件,则称cookie_path和request_path匹配: ** 1. cookie_path和request_path是同级路径,并且相等 **
** 2. cookie_path和request_path不是同级路径,并且cookie_path是request_path的前缀 **
cookie_path(/)匹配所有request_path
不匹配示例:
假设当前请求的域名是request_domain, 响应中Set-Cookie的域名是cookie_domain,路径是cookie_path,则:
可以的,只要同时满足Domain Match和Path Match即可。