Файлы cookie отправляются с запросами изображений?

Question

Если у меня есть сайт (например, foo.com) и на главной странице foo.com есть запрос изображения, где src = bar.com ..., будут ли файлы cookie в домене bar.com отправлено на серверы bar.com?

Спасибо!

Answer 1

Да. HTTP не различает один тип ресурса или другой (изображение против HTML).

Answer 2

Файл cookie обычно включается в запрос любого типа, но сценарий, который вы описываете, это то, что известно как сторонний файл cookie (то есть файл cookie устанавливается в домене, отличном от домен загруженной страницы), и большинство браузеров предлагают настройку конфиденциальности для блокировки сторонних файлов cookie.

Сторонние cookie позволяют владельцам bar.com размещать изображения (например, рекламные баннеры) на foo.com и отслеживать пользователей foo.com, даже если эти пользователи никогда не посещали bar.com. Это проблема конфиденциальности, и многие пользователи предпочитают блокировать такие файлы cookie.

Answer 3

Если сторонние cookie-файлы не заблокированы пользователем, большинство современных браузеров будут устанавливать или отправлять cookie-файлы стороннего домена, когда будет сделан запрос на сторонний веб-сайт. В IE 6 есть другой тип блокирующего механизма, называемый привязкой. Вики: Разрешенный cookie - это сторонний cookie, который отправляется браузером только при доступе к стороннему документу через того же самого первого участника.

Answer 4

Да, куки отправляются по всем запросам. Это включает в себя «img» и «script», а также вызовы XMLHttpRquest из javascript и может быть проблемой безопасности для тегов сценария, так как сценарии, загруженные одним веб-сайтом, могут загружать сценарии с другого сайта и отправлять свои файлы cookie аутентификации. Это можно использовать для кражи данных.