• document.cookie はそのドキュメントに関連するクッキーの読み書きができる
  • document.cookie を呼ぶ script がサードパーティーのドメインからロードしたものでも同様
  • ブラウザのクッキー設定を辛くしている場合はその限りではない
  • create* メソッドで動的に作られた場合など, ドキュメントのロケーションが空だったり定かでない場合も自由な読み書きは不可?
• 書き込みの場合任意のドメインのクッキーを設定できるが, 実際に送信されるか・保存されるかはブラウザの設定次第

こう思っているのだけど本当にそうなのか確信がない (仕様で定義されている or コードにそう書いてあった). また そのドキュメントに関連するクッキー の定義がいまいち曖昧. ファーストパーティのドメインのクッキーだけなのか, 許可している場合はサードパーティーのクッキーも OK なのか (経験則としては後者なのだが).

つまりサードパーティーのスクリプトでも, そのドキュメントに関連するクッキーを読めるし, 任意のドメインのクッキーをセットできると思っているのだが, 本当にそうだっけという確証がない. サードパーティーのスクリプトでもファーストパーティの DOM を自由にさわれるので, クッキーも読み書きできても筋が通っている気がしている.

まずは仕様を読んで調査:

• HTML Standard
• document.cookie - Document Object Model (DOM) | MDN
• Document Object Model HTML
• [whatwg] A document’s cookie context