J'ai une situation dans laquelle j'essaie d'utiliser un seul cookie d'authentification Http-Only à travers les sous-domaines.Les cookies partagés peuvent-ils être envoyés dans des sous-domaines?
J'ai vérifié que la réponse d'authentification définit le cookie, je vois le domaine dans la réponse comme .mondomaine.com. Si j'ouvre la visionneuse de cookies dans Chrome (Paramètres -> Afficher les paramètres avancés -> Paramètres du contenu -> Tous les cookies et les données du site ...) je vois mon cookie auth stocké sous mydomain.com (pas d'indication '.').
Cependant, quand je fais simple demande de retourner à mon serveur auth pour obtenir un jeton d'autorisation complète, le cookie d'authentification n'est pas envoyé:
//Sent from http://app.mydomain.com
$.get('http://auth.mydomain.com', null, function(fullAuthorizeTok) {});
Est-il impossible d'envoyer des cookies même dans une croix sous -domaine demande comme ça? J'utilise un cookie d'authentification Http-Only pour protéger contre les attaques XSS, puis utiliser un jeton d'autorisation soumis manuellement sur des opérations puissantes pour se protéger contre les attaques XSRF. Ce bit est la partie où l'application a déjà été authentifiée et demande un jeton d'autorisation du serveur, et je préférerais que cela soit possible à partir du client JS.