设置cookies时,可以设置cookie的域名参数domain,标识cookie在特定站点的合法性。具体的cookie参数,可以参见这里(搜索“domain”)。
大家知道,cookie是与域名绑定的,如果A站点的cookie,B站点是不能访问的,这是浏览器的同源策略限定,主要是出于安全考虑。但是,如果A站点在设置cookie时,设置了domain参数,那么这个cookie可以在domain指定的域名或子域名的站点使用。
今天在分析问题的时候,忽略了这一点,导致不知道一个奇特的cookie值来自何方,因为当前站点并没有设置此值,但是却“奇迹”般的出现了,究其原因,原来是我的站点的域名与SSO服务域名具有共同的父域名,而SSO在统一登录时设置了这个cookies,并且指定了domain,所以,我的站点就无形中带上了这个cookie。