如果我有一个网站(例如foo.com)并且在foo.com的主页上,有一个图像请求,其中src = bar.com ...,bar.com域上的cookie将是发送到bar.com服务器?
谢谢!
答案 0 :(得分:23)
是。 HTTP不区分一种资源或另一种资源(图像与html)。
答案 1 :(得分:11)
Cookie通常会包含在任何类型的请求中,但您描述的方案是所谓的第三方Cookie (也就是说,Cookie是在不同的域上设置的而不是加载的页面的域)和大多数浏览器提供隐私设置来阻止第三方cookie。
第三方Cookie允许bar.com的所有者在foo.com上放置图片(例如横幅广告)并跟踪foo.com的用户,即使这些用户从未访问过bar.com。这是一个隐私问题,许多用户选择阻止此类cookie。
答案 2 :(得分:3)
如果第三方Cookie未被用户阻止,则当向第三方网站发出请求时,大多数现代浏览器将设置或发送第三方域的Cookie。 IE 6有一种不同类型的阻塞机制叫做leashing。 wiki:带钩的cookie是第三方cookie,只有在通过同一个第一方访问第三方文档时才由浏览器发送。
答案 3 :(得分:2)
是的,所有请求都会发送cookie。 这包括“img”和“script”以及来自javascript的XMLHttpRquest调用,并且可能是脚本标记上的安全问题,因为一个网站加载的脚本可以从另一个站点加载脚本并且也将发送其身份验证cookie。这可以被利用来窃取数据。
答案 4 :(得分:0)
是的,aspx/js/css/image 请求需要 cookie 验证。