イヨのホール

クッキー送信シナリオ分析

このドキュメントはクッキー送信シナリオを分析し、さまざまなSameSite設定とドメイン属性によるクッキー送信可否を整理します。この分析はhttps://api.hello.devhttps://hello.dev間のリクエストを基準としています。

前提条件

すべてのクッキーは次の共通オプションを持ちます:

  • Secure=true:HTTPS接続でのみクッキーを送信

ブラウザは同一サイト(originとtargetが同じ登録ドメインhello.devを共有)間のリクエストでのみすべてのSameSite設定クッキーを送信するため、ここではSameSiteによるブロックはありません。クッキーのDomain属性を指定すると、該当ドメインとすべてのサブドメインにクッキーが送信されます。以下の表で✅はクッキー送信、🚫は送信されないことを示します。

https://api.hello.devhttps://api.hello.dev

Domain SameSite Form GET Form POST Fetch GET Fetch POST
api.hello.dev Strict ✅¹ ✅¹
api.hello.dev Lax ✅¹ ✅¹
api.hello.dev None ✅¹ ✅¹
.hello.dev Strict ✅¹ ✅¹
.hello.dev Lax ✅¹ ✅¹
.hello.dev None ✅¹ ✅¹

https://api.hello.devhttps://*.hello.dev

Domain SameSite Form GET Form POST Fetch GET Fetch POST
api.hello.dev Strict 🚫 🚫 🚫 🚫
api.hello.dev Lax 🚫 🚫 🚫 🚫
api.hello.dev None 🚫 🚫 🚫 🚫
.hello.dev Strict ✅¹ ✅¹
.hello.dev Lax ✅¹ ✅¹
.hello.dev None ✅¹ ✅¹

https://api.hello.devhttps://hello.dev

Domain SameSite Form GET Form POST Fetch GET Fetch POST
api.hello.dev Strict 🚫 🚫 🚫 🚫
api.hello.dev Lax 🚫 🚫 🚫 🚫
api.hello.dev None 🚫 🚫 🚫 🚫
.hello.dev Strict ✅¹ ✅¹
.hello.dev Lax ✅¹ ✅¹
.hello.dev None ✅¹ ✅¹

https://hello.devhttps://api.hello.dev

Domain SameSite Form GET Form POST Fetch GET Fetch POST
hello.dev Strict 🚫 🚫 🚫 🚫
hello.dev Lax 🚫 🚫 🚫 🚫
hello.dev None 🚫 🚫 🚫 🚫
.hello.dev Strict ✅¹ ✅¹
.hello.dev Lax ✅¹ ✅¹
.hello.dev None ✅¹ ✅¹

https://hello.devhttps://*.hello.dev

Domain SameSite Form GET Form POST Fetch GET Fetch POST
hello.dev Strict 🚫 🚫 🚫 🚫
hello.dev Lax 🚫 🚫 🚫 🚫
hello.dev None 🚫 🚫 🚫 🚫
.hello.dev Strict ✅¹ ✅¹
.hello.dev Lax ✅¹ ✅¹
.hello.dev None ✅¹ ✅¹

脚注

¹ 認証情報付き(Fetch APIはcredentials: includeオプションが必要)

**注意:**ドメイン属性を指定すると、指定ドメインとすべてのサブドメインにクッキーが送信されます。