Из статьи Окончательное руководство по доменам cookie и почему www-префикс делает ваш сайт более безопасным :
Заключение
Хотя определения несколько отличаются, мы можем упростить его для любой из этих реализаций как:
Другие заслуживающие внимания наблюдения:
- Если в cookie не задан домен, cookie должен соответствуют точному имени хоста запроса. [ПРИМЕЧАНИЕ: это отличается от возврата Set-Cookie с доменом без точки!] Нет поддоменов, без частичных совпадений. Это означает, что просто не включать атрибут домена - неверно устанавливать пустой атрибут домена. К сожалению, Internet Explorer, по-видимому, рассматривает это как имя хоста вместе с любыми субдоменами .
- При настройке домена в файле cookie безопасным выбором является то, что ему предшествует точка, например .erik.io.
- Настройка домена cookie без предшествующей точки, например erik.io, недействительна в реализациях RFC 2109 и приведет к такому же поведению, что и к предыдущему точка в других реализациях. Невозможно ограничить куки-файл определенным явным образом заданным доменом без включения дополнительных доменов.
blockquote>
- Всего RFC, указанный домен cookie должен соответствовать текущему имени хоста, в соответствии с обычным соответствием. Установка cookie для www.erik.io в ответе от erik.io недействительна, так как cookie с доменом www.erik.io не соответствует erik.io, причем более конкретный.
- В RFC 6265 домены явно уменьшаются при анализе заголовка Set-Cookie.