ので、クッキードメインを .domain のように、ドット入りで記述して、
クロスドメイン対応しようとした場合は、
同じサーバ上で複数ドメインを運用している場合は注意が必要。

セッションファイルが共有されるので、ホワイトリスト／ブラックリストとか使った方が安全かも。

まぁ、セッションファイルが共有されるかどうかも、サーバーやアプリケーション環境の設定によりますが。