برخلاف سایر استانداردهای وب ، کوکی های HTTP از تعریف مشترک "مبدا" مانند "سیاست مبدا همان" استفاده نمی کنند. کوکی ها با نام های دامنه و زیر دامنه ها تفکیک می شوند. (و یک پرچم مطمئن وجود دارد که فقط کوکی را درون یک اتصال HTTPS بازگرداند ، که این یک ماده ظریف دیگری است.)
برای تعیین اینکه آیا اشتراک کوکی ها مجاز است ، مرورگرها به مفهوم "همان دامنه قابل ثبت" اعتماد می کنند. 19659002] این یک ضمانت اصلی جداسازی کوکی ها است:
اگر DX و DY دو دامنه متفاوت برای ثبت هستند و X و Y به ترتیب دو نام میزبان در DX و DY هستند ، پس
- صفحات وب در X نمی توانند با کوکی ها اشتباه بگیرند. ایجاد شده توسط صفحات وب Y: آنها نمی توانند آنها را بخوانند ، آنها را اصلاح کنند.
- و آنها در صفحه X نمی توانند کوکی ایجاد کنند که توسط مرورگر به صفحات Y ارسال شود.
که به یک تعریف مشترک نیاز دارد که "دامنه قابل ثبت" چیست. در غیر این صورت ، آنچه توسط بعضی از نمایندگان مجاز است و آن را امن می دانند ، توسط دیگران مجاز نیست و هیچ کس اشکال محصول خود را در نظر نمی گیرد.
این تعریف مبتنی بر جایی است که کاربران می توانند نام دامنه را بدست آورند (نوعی خاصیت غیرمادی داشته باشند).
آیا این یک پایه محکم برای یک خاصیت منزوی امنیتی اساسی است؟
- آیا یک تعریف از آنچه که یک "حوزه ثبت" نام دارد پذیرفته می شود؟
- آیا در همه موارد دقیق و قابل تعیین است؟
- آیا همه مرورگرها در مورد آنچه به عنوان "دامنه قابل ثبت" حساب می شود موافق هستند؟
