CNAME è come un alias di dominio, ad esempio se fai email.stackoverflow.com un CNAME che punta a evil.com , chiunque cerchi di accedere a email .stackoverflow.com accederà effettivamente a qualunque server evil.com punta. Tuttavia, per quanto riguarda il browser, continua a pensare che stia accedendo a email.stackoverflow.com e invierà felicemente tutti i cookie impostati dal dominio principale, che potrebbero includere i token di sessione sensibili.
Usando un dominio completamente diverso (invece di un sottodominio) attenuano questo rischio e impediscono al loro provider di posta elettronica / newsletter di terze parti di ottenere i cookie di sessione dell'utente.
Il browser potrebbe inviare cookie se l'utente fa clic esplicitamente su qualsiasi link al sottodominio o se l'e-mail è in formato HTML e collega a risorse su quel dominio come immagini.