例)
www.domain.com(クッキーAを使用可)
sub1.domain.com(クッキーAを使用可)
sub2.domain.com(クッキーAを使用可)
user.domain.com(クッキーAを使用不可)
wwwでユーザー登録/認証をしてユーザーIDとパスワードをクッキーに保存します(クッキーA)。
また、クッキーAはsub1, sub2など他のドメインで読み書きします。
user以下でユーザーページを作成、ユーザーページではHTML/JavaScriptをフルに使用可能にしようと考えています。そのためXSSを考慮しuser以下ではクッキーAを読めないようにしたいのです。
セキュリティーをクリアしたかたちでuser以下でクッキー(およびセッション)を使用不可にする方法を教えて下さい。よろしくお願い致します。
Set-Cookieレスポンスヘッダの構文----------------------------------------
Set-Cookie : 名前=値; expires=日付;path=パス; domain=ドメイン名; secure
------------------------------------------------------------------------
Set-Cookieにて、クッキーを適用したいドメイン名を指定してあげれば良いと思います。
つまり、
www.domain.com
sub1.domain.com
sub2.domain.com
の3つのSet-Cookieを送出します。
また、仮想フォルダの指定は pathを設定すれば良いと思います。
添付URLを参考にされると良いと思います。
クッキー参考
試してみます。ありがとうございました。