Могу ли я получить cookie только из домена второго уровня?

Это зависит от того, как был определен файл cookie, особенно если для атрибута Домен указано, какие значения он имеет (см. RFC 2965 – Роль агента пользователя):

• if Атрибут Domain отсутствует, пользовательский агент предполагает текущий хост; в противном случае
• если установлен атрибут Домен, его значение должно начинаться с . , например .example.com (если нет, например, example.com, пользовательский агент изменит его на .example.com).

Теперь домен файла cookie должен соответствовать домену домена, который будет отправлен в запросе. И это так:

• если либо домены идентичны (в случае отсутствия параметра Domain), либо
• если значение, указанное в атрибуте Domain, должно быть суффиксом домена.

Это означает:

 effective domain | example.com | a.example.com | foo.example.com | bar.a.example.com
------------------+-------------+---------------+-----------------+-------------------
      example.com |      ✓      |      ✗        |        ✗        |         ✗
    a.example.com |      ✗      |      ✓        |        ✗        |         ✗
     .example.com |      ✓      |      ✓        |        ✓        |         ✓
   .a.example.com |      ✗      |      ✓        |        ✗        |         ✓

Таким образом, если вы хотите, чтобы файл cookie был действителен только для a.example.com, вы либо опускаете атрибут Домен, либо указываете . Атрибут ]Domain с атрибутом .a.example.com (это сделает файл cookie действительным для a.example.com и его поддоменов).

Невозможно ограничить файл cookie example.com – только путем установки параметра domain. Однако в большинстве браузеров файл cookie по умолчанию будет иметь значение example.com — только если не указан домен. К сожалению, в IE по умолчанию разрешен доступ поддоменов к файлу cookie.

Вот почему вы размещаете свой основной сайт по адресу www.example.com, а не только example.com. С сайтом в основном домене example.com вы не можете надежно хранить свои файлы cookie отдельно.