最聪明的解决办法就是效仿facebook的做法。当你访问任何域名时，facebook如何知道你是谁?其实很简单:

The Like button actually allows Facebook to track all visitors of the external site, no matter if they click it or not. Facebook can do that because they use an iframe to display the button. An iframe is something like an embedded browser window within a page. The difference between using an iframe and a simple image for the button is that the iframe contains a complete web page – from Facebook. There is not much going on on this page, except for the button and the information about how many people have liked the current page.

所以当你在cnn.com上看到一个“喜欢”按钮时，你实际上是在同时访问一个Facebook页面。这使得Facebook可以读取你电脑上的cookie，这些cookie是它在你上次登录Facebook时创建的。

每种浏览器的一个基本安全规则是，只有创建了cookie的网站以后才能读取它。这就是iframe的优势:它允许Facebook读取你的Facebook-cookie，即使你在访问另一个网站。这就是他们如何在cnn.com上认出你，并在那里展示你的朋友。

来源:

http://dorianroy.com/blog/2010/04/how-facebooks-like-button-works/ https://stackoverflow.com/a/8256920/715483

没有所谓的跨域cookie。您可以在foo.example.com和bar.example.com之间共享cookie，但绝不可以在example.com和example2.com之间共享cookie，这是出于安全原因。

是的，从domain1获得cookie是完全可能的。domain2.example示例。我的社交网络的社交插件也遇到了同样的问题，经过一天的研究，我找到了解决方案。

首先，在服务器端，你需要有以下头文件:

header("Access-Control-Allow-Origin: http://origin.domain:port");
header("Access-Control-Allow-Credentials: true");
header("Access-Control-Allow-Methods: GET, POST");
header("Access-Control-Allow-Headers: Content-Type, *");

在php文件中，你可以使用$_COOKIE[name]

第二，在客户端:

在AJAX请求中，需要包含2个参数

crossDomain: true
xhrFields: { withCredentials: true }

例子:

type: "get",
url: link,
crossDomain: true,
dataType: 'json',
xhrFields: {
  withCredentials: true
}

基于浏览器的存储主要有三种:

会话存储 本地存储 cookie存储

安全cookie -用于加密网站，以提供保护，免受来自黑客的任何可能威胁。 访问cookie - document.cookie。这意味着这个cookie是公开的，可以通过跨站点脚本来利用。保存的cookie值可以通过浏览器控制台看到。

作为预防措施，您应该总是尝试使用JavaScript使您的cookie在客户端不可访问。

HTTPonly - ensures that a cookie is not accessible using the JavaScript code. This is the most crucial form of protection against cross-scripting attacks. A secure attribute - ensures that the browser will reject cookies unless the connection happens over HTTPS. sameSite attribute improves cookie security and avoids privacy leaks. sameSite=Lax - It is set to Lax (sameSite = Lax) meaning a cookie is only set when the domain in the URL of the browser matches the domain of the cookie, thus eliminating third party’s domains. This will restrict cross-site sharing even between different domains that the same publisher owns. we need to include SameSite=None to avoid the new default of Lax:

注意:有一个规范草案要求当SameSite属性被设置为“none”时Secure属性被设置为true。一些web浏览器或其他客户端可能采用此规范。

使用include作为{withCredentials: true}必须包含来自前端的请求的所有cookie。

const data = { email: 'youremailaddress@gmail.com' , password: '1234' };
const response = await axios.post('www.yourapi.com/login', data , { withCredentials: true });

Cookie只能在安全的HTTPS连接上被接受。为了使其工作，我们必须将web应用程序移动到HTTPS。

在express.js

res.cookie('token', token, {
      maxAge: 1000 * 60 * 60 * 24, // would expire after (for 15 minutes  1000 * 60 * 15 ) 15 minutes
      httpOnly: true, // The cookie only accessible by the web server
      sameSite: 'none',
      secure: true, // Marks the cookie to be used with HTTPS only.
    });

参考文献1，参考文献2

您不能跨域共享cookie。但是，您可以允许所有子域具有访问权限。若要允许example.com的所有子域具有访问权限，请将域设置为.example.com。

这是不可能的。例如访问example.com的cookie。

您可以尝试使用图像标记将cookie val推到另一个域。

在尝试这样做时，您的情况可能会有所不同，因为一些浏览器要求您在WebApp2域上有适当的P3P策略，否则浏览器将拒绝cookie。

如果你看plus.google.com p3p政策，你会看到他们的政策是:

CP="这不是P3P策略!更多信息请访问http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657。”

这就是他们对这些跨域请求使用的+1按钮的策略。

另一个警告是，如果您使用https，请确保图像标签指向https地址，否则cookie将不会设置。