I cookie sono stati inviati con richieste di immagini?

Question

Se ho un sito (es. Foo.com) e sulla home page di foo.com, c'è una richiesta di immagine dove src = bar.com ..., i cookie sul dominio bar.com saranno inviati ai server di bar.com?

Grazie!

Answer 1

Sì. HTTP non distingue tra un tipo di risorsa o un altro (immagine vs html).

Answer 2

Il cookie verrà in genere incluso in qualsiasi tipo di richiesta, ma lo scenario che descrivi è noto come cookie di terze parti (ovvero, il cookie è impostato su un dominio diverso da quello del dominio di la pagina caricata) e la maggior parte dei browser offre un'impostazione di privacy per bloccare i cookie di terze parti.

Un cookie di terze parti consente ai proprietari di bar.com di posizionare un'immagine (ad esempio un banner pubblicitario) su foo.com e tracciare gli utenti di foo.com anche se tali utenti non hanno mai visitato bar.com. Questa è una preoccupazione per la privacy e molti utenti scelgono di bloccare tali cookie.

Answer 3

Sì, i cookie vengono inviati su tutte le richieste. Questo include "img" e "script" così come le chiamate XMLHttpRquest da javascript e può essere un problema di sicurezza sui tag di script poiché gli script caricati da un sito web possono caricare script da un altro sito e invieranno anche i loro cookie di autenticazione. Questo può essere sfruttato per rubare dati.

Answer 4

Se i cookie di terze parti non vengono bloccati dall'utente, i browser più recenti imposteranno o invieranno cookie del dominio di terze parti quando viene effettuata una richiesta al sito Web di terzi. IE 6 ha un diverso tipo di meccanismo di blocco chiamato leashing. wiki: un cookie al guinzaglio è un cookie di terze parti che viene inviato dal browser solo quando si accede a un documento di terze parti tramite la stessa prima parte.