Errata concernant mon précédent billet sur le sujet.

D’abord, en envoyant un cookie avec pour domaine de validité .example.com, celui-ci sera viable également sur example.com. L’extension View Cookies de Firefox m’a induit en erreur.

Il semble que seuls les cookies dont le domaine de validité matche exactement le domaine courant soient affichés par cette extension, les cookies avec un domaine de validité de type .example.com valides sur plusieurs sous-domaines ne sont pas du tout affichés. Un coup d’œil à liveHttpHeaders ou avec print_r($_COOKIE); montre qu’ils sont bien actifs.

Ensuite, concernant le nombre minimum de caractères point dans le domaine de validité, celui-ci doit contenir au moins un point "embarqué" (x.y est bon, .y ou x. ne l’est pas) et la partie précédent le domaine de validité du cookie dans le nom d’hôte courant ne doit pas contenir de point. Example : le cookie avec le domaine de validité .foo.com sera valide sur foo.com et n’importe quel sous-domaine *.foo.com où * est une chaîne ne contenant pas de caractère point. Donc le cookie n’est pas valable sur *.bar.foo.com.

Au vu de ces règles (extraites de la RFC 2965), je ne vois plus ce qui empêche en principe d’émettre un cookie avec un domaine de validité tel que .co.uk et qui serait valable par exemple sur blah.co.uk. Ce billet est donc sujet à une mise à jour ultérieure, quand j’aurais éclairci ce point :¬)

• RFC 2965 - HTTP State Management Mechanism