Cookie Transmission Scenario Analysis
This document analyzes cookie transmission scenarios, organizing cookie transmission status according to various SameSite settings and domain attributes. This analysis is based on requests between https://api.hello.dev
and https://hello.dev
.
Prerequisites
All cookies have the following common options:
- Secure=true: Cookies are only transmitted over HTTPS connections
Since browsers transmit all SameSite setting cookies only in requests between same sites (where origin and target share the same registered domain hello.dev), there is no blocking due to SameSite here. When a cookie's Domain attribute is specified, the cookie is transmitted to that domain and all its subdomains. In the tables below, โ indicates cookie transmission, and ๐ซ indicates no transmission.
https://api.hello.dev
โ https://api.hello.dev
Domain | SameSite | Form GET | Form POST | Fetch GET | Fetch POST |
---|---|---|---|---|---|
api.hello.dev | Strict | โ | โ | โ ยน | โ ยน |
api.hello.dev | Lax | โ | โ | โ ยน | โ ยน |
api.hello.dev | None | โ | โ | โ ยน | โ ยน |
.hello.dev | Strict | โ | โ | โ ยน | โ ยน |
.hello.dev | Lax | โ | โ | โ ยน | โ ยน |
.hello.dev | None | โ | โ | โ ยน | โ ยน |
https://api.hello.dev
โ https://*.hello.dev
Domain | SameSite | Form GET | Form POST | Fetch GET | Fetch POST |
---|---|---|---|---|---|
api.hello.dev | Strict | ๐ซ | ๐ซ | ๐ซ | ๐ซ |
api.hello.dev | Lax | ๐ซ | ๐ซ | ๐ซ | ๐ซ |
api.hello.dev | None | ๐ซ | ๐ซ | ๐ซ | ๐ซ |
.hello.dev | Strict | โ | โ | โ ยน | โ ยน |
.hello.dev | Lax | โ | โ | โ ยน | โ ยน |
.hello.dev | None | โ | โ | โ ยน | โ ยน |
https://api.hello.dev
โ https://hello.dev
Domain | SameSite | Form GET | Form POST | Fetch GET | Fetch POST |
---|---|---|---|---|---|
api.hello.dev | Strict | ๐ซ | ๐ซ | ๐ซ | ๐ซ |
api.hello.dev | Lax | ๐ซ | ๐ซ | ๐ซ | ๐ซ |
api.hello.dev | None | ๐ซ | ๐ซ | ๐ซ | ๐ซ |
.hello.dev | Strict | โ | โ | โ ยน | โ ยน |
.hello.dev | Lax | โ | โ | โ ยน | โ ยน |
.hello.dev | None | โ | โ | โ ยน | โ ยน |
https://hello.dev
โ https://api.hello.dev
Domain | SameSite | Form GET | Form POST | Fetch GET | Fetch POST |
---|---|---|---|---|---|
hello.dev | Strict | ๐ซ | ๐ซ | ๐ซ | ๐ซ |
hello.dev | Lax | ๐ซ | ๐ซ | ๐ซ | ๐ซ |
hello.dev | None | ๐ซ | ๐ซ | ๐ซ | ๐ซ |
.hello.dev | Strict | โ | โ | โ ยน | โ ยน |
.hello.dev | Lax | โ | โ | โ ยน | โ ยน |
.hello.dev | None | โ | โ | โ ยน | โ ยน |
https://hello.dev
โ https://*.hello.dev
Domain | SameSite | Form GET | Form POST | Fetch GET | Fetch POST |
---|---|---|---|---|---|
hello.dev | Strict | ๐ซ | ๐ซ | ๐ซ | ๐ซ |
hello.dev | Lax | ๐ซ | ๐ซ | ๐ซ | ๐ซ |
hello.dev | None | ๐ซ | ๐ซ | ๐ซ | ๐ซ |
.hello.dev | Strict | โ | โ | โ ยน | โ ยน |
.hello.dev | Lax | โ | โ | โ ยน | โ ยน |
.hello.dev | None | โ | โ | โ ยน | โ ยน |
Footnotes
ยน With credentials included (Fetch API requires credentials: include option)
Note: When a domain attribute is specified, cookies are transmitted to the specified domain and all its subdomains.