โœˆ๏ธ Go Up

XIYO's Hole

Go to Nav

Cookie Transmission Scenario Analysis

This document analyzes cookie transmission scenarios, organizing cookie transmission status according to various SameSite settings and domain attributes. This analysis is based on requests between https://api.hello.dev and https://hello.dev.

Prerequisites

All cookies have the following common options:

  • Secure=true: Cookies are only transmitted over HTTPS connections

Since browsers transmit all SameSite setting cookies only in requests between same sites (where origin and target share the same registered domain hello.dev), there is no blocking due to SameSite here. When a cookie's Domain attribute is specified, the cookie is transmitted to that domain and all its subdomains. In the tables below, โœ… indicates cookie transmission, and ๐Ÿšซ indicates no transmission.

https://api.hello.dev โ†’ https://api.hello.dev

Domain SameSite Form GET Form POST Fetch GET Fetch POST
api.hello.dev Strict โœ… โœ… โœ…ยน โœ…ยน
api.hello.dev Lax โœ… โœ… โœ…ยน โœ…ยน
api.hello.dev None โœ… โœ… โœ…ยน โœ…ยน
.hello.dev Strict โœ… โœ… โœ…ยน โœ…ยน
.hello.dev Lax โœ… โœ… โœ…ยน โœ…ยน
.hello.dev None โœ… โœ… โœ…ยน โœ…ยน

https://api.hello.dev โ†’ https://*.hello.dev

Domain SameSite Form GET Form POST Fetch GET Fetch POST
api.hello.dev Strict ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ
api.hello.dev Lax ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ
api.hello.dev None ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ
.hello.dev Strict โœ… โœ… โœ…ยน โœ…ยน
.hello.dev Lax โœ… โœ… โœ…ยน โœ…ยน
.hello.dev None โœ… โœ… โœ…ยน โœ…ยน

https://api.hello.dev โ†’ https://hello.dev

Domain SameSite Form GET Form POST Fetch GET Fetch POST
api.hello.dev Strict ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ
api.hello.dev Lax ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ
api.hello.dev None ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ
.hello.dev Strict โœ… โœ… โœ…ยน โœ…ยน
.hello.dev Lax โœ… โœ… โœ…ยน โœ…ยน
.hello.dev None โœ… โœ… โœ…ยน โœ…ยน

https://hello.dev โ†’ https://api.hello.dev

Domain SameSite Form GET Form POST Fetch GET Fetch POST
hello.dev Strict ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ
hello.dev Lax ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ
hello.dev None ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ
.hello.dev Strict โœ… โœ… โœ…ยน โœ…ยน
.hello.dev Lax โœ… โœ… โœ…ยน โœ…ยน
.hello.dev None โœ… โœ… โœ…ยน โœ…ยน

https://hello.dev โ†’ https://*.hello.dev

Domain SameSite Form GET Form POST Fetch GET Fetch POST
hello.dev Strict ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ
hello.dev Lax ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ
hello.dev None ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ ๐Ÿšซ
.hello.dev Strict โœ… โœ… โœ…ยน โœ…ยน
.hello.dev Lax โœ… โœ… โœ…ยน โœ…ยน
.hello.dev None โœ… โœ… โœ…ยน โœ…ยน

Footnotes

ยน With credentials included (Fetch API requires credentials: include option)

Note: When a domain attribute is specified, cookies are transmitted to the specified domain and all its subdomains.