Cookie có được gửi cùng với yêu cầu hình ảnh không?

Question

Nếu tôi có một trang web (ví dụ: foo.com) và trên trang chủ của foo.com, có một yêu cầu hình ảnh nơi src = bar.com ..., các cookie trên miền bar.com có ​​được gửi không đến các máy chủ bar.com?

Cảm ơn!

Answer 1

Có. HTTP không phân biệt giữa một loại tài nguyên hoặc loại tài nguyên khác (hình ảnh so với html).

Answer 2

Cookie thường sẽ được bao gồm trong bất kỳ loại yêu cầu nào, nhưng trường hợp bạn mô tả là một cookie được gọi là của bên thứ ba (nghĩa là cookie được đặt trên tên miền khác với tên miền của trang được tải) và hầu hết các trình duyệt đều cung cấp cài đặt bảo mật để chặn cookie của bên thứ ba.

Cookie của bên thứ ba cho phép chủ sở hữu của bar.com đặt hình ảnh (nói quảng cáo biểu ngữ) trên foo.com và theo dõi người dùng foo.com mặc dù những người dùng đó chưa bao giờ truy cập bar.com. Đây là mối quan tâm về quyền riêng tư và nhiều người dùng chọn chặn các cookie đó.

Answer 3

Có cookie được gửi trên tất cả các yêu cầu. Điều này bao gồm "img" và "script" cũng như các lời gọi XMLHttpRquest từ javascript và có thể là vấn đề bảo mật trên thẻ tập lệnh khi các tập lệnh được tải bởi một trang web có thể tải tập lệnh từ một trang web khác và cũng sẽ gửi cookie xác thực của họ. Điều này có thể được khai thác để ăn cắp dữ liệu.

Answer 4

Nếu cookie của bên thứ ba không bị người dùng chặn thì hầu hết các trình duyệt hiện đại sẽ đặt hoặc gửi cookie của miền của bên thứ ba khi yêu cầu được đưa tới trang web của bên thứ ba. IE 6 có một loại cơ chế chặn khác gọi là leashing. wiki: Cookie được chứa là cookie của bên thứ ba được trình duyệt chỉ gửi khi truy cập tài liệu của bên thứ ba thông qua cùng một bên thứ nhất.