Может ли сторонний сайт установить cookie-файл через мой сайт, если я сделаю горячую ссылку / вставлю не сценарий?

Question

Если я использую изображение, таблицу стилей, веб-шрифт или другие ресурсы, не относящиеся к сценариям, с внешнего сайта (например, хотлинкинг, встраивание или связывание), может ли этот сайт устанавливать сторонние файлы cookie на устройстве пользователя при посещениимой веб-сайт?Существуют ли какие-либо элементы HTML (кроме скрипта, апплета, iframe, объекта или встраивания), которые можно использовать для установки сторонних файлов cookie с помощью внешнего URL-адреса в атрибуте src или href?

Я знаю, что на вашем веб-сервере вы можете сделать некоторую хитрость, например, для обработки файла .jpg, как если бы это был другой тип файла (.php, .aspx и т. Д.), Который мог бы установить cookie, а также вернутьсодержание таблицы стилей.Я специально спрашиваю, можно ли использовать «реальное» изображение или другой ресурс для установки файлов cookie.

Я не пытаюсь сделать это, я пытаюсь предотвратить это.Этот вопрос возник у меня при попытке убедиться, что веб-сайт полностью соответствует требованиям GDPR и ePrivacy.Я знаю, что вопросы GDPR не разрешены, и я не прошу юридических консультаций.Это больше касается любопытства по вопросам безопасности и конфиденциальности, которые могут возникнуть в результате, казалось бы, «безопасного» обмена сторонним контентом.

Answer 1

Невозможно запретить другим сайтам или серверам устанавливать куки при использовании своих активов.Нет способа предотвратить это на стороне сервера.GDPR должен был указать, что браузеры сделали это возможным, но прямо возложил ответственность на владельца сайта.При этом у вас есть веб-сайт, но сам ресурс не ваш.Вы несете ответственность за этот контент не больше, чем человек, встраивающий клип на YouTube.Теперь вы можете проверить, устанавливает ли он куки-файл, просто откройте изображение в окне инкогнито и проверьте, устанавливает ли он куки-файлы.Теперь, если был какой-либо файл cookie с кажущимся случайным идентификатором, он может быть отслежен, если у него есть общий текст, такой как tracking = denied, то, вероятно, это не так.Имейте в виду, что большинство сайтов также должны вести себя в соответствии с этими законами или просто блокировать страны ЕС, что намного проще.

Answer 2

Да

Файлы cookie могут быть установлены по заголовкам ответов, поэтому любой ресурс сайта, находящийся вне вашего контроля, может установить его cookie.Конечно, cookie будет виден / доступен только для его домена (не Ваш).

Это проблема конфиденциальности GDPR для Вас, поскольку сторонние компании могут отслеживать пользователя таким образом, более того, они видят IP-адрес клиента и знак браузера, что также может быть истолковано как проблема конфиденциальности.