HTTP Cookie とポート番号
HTTP Cookie は、指定したドメインをまたいで送信することは、ない。 それは、RFC 6265 の 4.1.2.3 などにも書かれている。
RFC 6265 - HTTP State Management Mechanism
http://localhost:8080/ の場合は、この「ドメインの一致」を見る部分は 「localhost:8080」、つまりポート番号まで含むとずっと思い込んでいたのだが、 RFCをよく読むと、ポート番号では分離されない、と書いてあった。
8.5. Weak Confidentiality
Cookies do not provide isolation by port.
とある開発で、1台のサーバー上で複数のWebアプリケーションを ポート番号を分けて起動していたのだが、上の思い込みにより嵌ってしまった。
