subdomain1.example.comからsubdomain2.example.comにajax リクエストを送信すると、SameSite=lax または SameSite=strict 属性があっても、subdomain2 の Cookie が含まれることに気付きました。これは、SameSite 属性が存在する場合に Cookie を含まない無関係なドメイン (たとえば、example1.com -> example2.com ) にわたる要求とは異なります。
どちらの場合も、ドメイン属性が設定されていない Set-Cookie ヘッダーを使用して、サーバー側で Cookie を作成しています。そのような場合の私の理解では、Cookie はクライアントのドメインに関連付けられています。ただし、兄弟ドメインは単一のドメインとして扱われるようです。
私の診断は、クロムプロジェクトのこのテストによって確認されたようです:
EXPECT_TRUE(CompareDomains("http://a.x.com/file.html",
"http://b.x.com/file.html")); // x.com
そのような動作は意図的なものですか、それとも私のテストに欠陥がありますか? 兄弟ドメインの Cookie 分離を実現することは可能ですか? または、そのような要件がある場合は、ドメインを無関係にする必要がありますか?