サイトがある場合(foo.comなど)、foo.comのホームページにsrc = bar.com ...という画像リクエストがある場合、bar.comドメインのCookieが送信されますbar.comサーバーに送信しますか?イメージリクエストでクッキーが送信されますか?
ありがとうございます!
サイトがある場合(foo.comなど)、foo.comのホームページにsrc = bar.com ...という画像リクエストがある場合、bar.comドメインのCookieが送信されますbar.comサーバーに送信しますか?イメージリクエストでクッキーが送信されますか?
ありがとうございます!
はい。 HTTPはある種類のリソースと別の種類のリソース(イメージ対HTML)を区別しません。
通常、Cookieは任意の種類のリクエストに含まれますが、説明するシナリオはサードパーティのCookie(つまり、読み込まれたページ)、ほとんどのブラウザはサードパーティのCookieをブロックするためのプライバシー設定を提供します。
サードパーティのCookieを使用すると、bar.comの所有者はfoo.comに画像(バナー広告など)を配置し、foo.comのユーザーを追跡することはできません。これはプライバシーに関する懸念事項であり、多くのユーザーがこのようなCookieをブロックすることを選択しています。
はいすべてのリクエストでCookieが送信されます。 これには、「img」と「script」とjavascriptからのXMLHttpRquest呼び出しが含まれ、スクリプトタグのセキュリティ上の問題となる可能性があります。あるWebサイトによって読み込まれたスクリプトが別のサイトのスクリプトを読み込み、これは、データを盗むために悪用される可能性があります。
XMLHttpRequestはCORS保護の対象です。 – Vanuan
サードパーティ・クッキーが利用者によってブロックされていない場合は、要求がサードパーティのWebサイトに言及するとき、その後、最新のブラウザは、サードパーティのドメインのクッキーを設定したり、送信します。 IE 6には、leashingと呼ばれる異なる種類のブロックメカニズムがあります。 wiki:leashed cookieは、同じ第一者を介して第三者の文書にアクセスする場合にのみブラウザーによって送信される第三者のcookieです。
これは、doubleclickなどの広告サーバーがウェブ上であなたを追跡できる理由です。 – chris
私はこの事実を使ってクロスドメインログインクッキーを設定しました。信頼できるものにも近くない(ユーザーがあなたの画像が読み込まれるのを待っていない可能性があるからです)、間違いなく機能します。 – ojrac
@ojrac:Wikipedia(など)は、クロスドメインログインにも画像を使用しています。 – derobert