クッキーの挙動は Same Origin Policy に従う…わけではない
   1 min read

次のQiitaのコメントを見て、そうなんだ、となりました:

根拠を探してみたところ、同じくQiitaの記事

の出典として RFC6265 HTTP State Management Mechanismが挙げられており、そちらのドキュメントの冒頭にバッチリ書いてありました:

(前略)Similarly, cookies for a given host are shared across all the ports on that host, even though the usual "same-origin policy" used by web browsers isolates content retrieved via different ports.

Cookies do not provide isolation by port. If a cookie is readable by a service running on one port, the cookie is also readable by a service running on another port of the same server. If a cookie is writable by a service on one port, the cookie is also writable by a service running on another port of the same server. For this reason, servers SHOULD NOT both run mutually distrusting services on different ports of the same host and use cookies to store security- sensitive information.

ちなみに後続の文章ではスキーマ(http とか)が違っても送信されるよ、と書いてありまして、そういやその問題を抑制する方策のひとつとして secure があるのだな、と。

逆に言えば、 secure 属性みたいなのが必要ってことはcookiesはsame-origin-policyに従っているわけではないのだな、という推測が可能ですね。