sagnitude

>  > 这里是跨域吧，楼主是笔误了吧 是跨站，你仔细看上一段，判断是否跨站不是根据顶级域名（TLD）来判断，是根据有效顶级域名（[eTLD](https://en.wikipedia.org/wiki/Public_Suffix_List)）来判断 github.io是一个完整的 eTLD，其上注册的子域名都是跨站

> 我想说，同时设置 http-only 和 secure是不是重复了呢？ > 因为 secure 代表只有 https 协议才会发送cookie，http-only 代表仅当 http 和 https 协议下才发送 cookie，本地方式获取 cookie 无效，可以总结为下面这张表： > > # | http | https | 本地 | >...