如果我 hotlink/embed 非脚本资源,第三方站点可以通过我的站点设置 cookie 吗?
Can a third-party site set a cookie through my site if I hotlink/embed a non-script resource?
如果我使用来自外部站点的图像、样式表、网络字体或其他非脚本资源(例如热链接、嵌入或链接),该站点是否可以在用户设备上设置第三方 cookie他们访问我的网站?是否有任何 HTML 元素(脚本、小程序、iframe、对象或嵌入除外)可用于通过在 src 中使用外部 URL 来设置第三方 cookie 或href属性?
我知道您可以在您的网络服务器上做一些诡计,例如,将 .jpg 文件当作不同的文件类型(.php、.aspx 等)来处理,这可以设置 cookie 以及 return 样式表内容。我特别想问 "real" 图像或其他资源是否可用于设置 cookie。
我不是要做,我是要阻止。在尝试确保网站完全符合 GDPR 和 ePrivacy 标准时,我想到了这个问题。我知道 GDPR 问题是不允许的,我也不是在寻求法律建议。这更多是出于对看似 "safe" 共享第三方内容可能导致的安全和隐私问题的好奇心。
是
Cookies可以通过响应头来设置,因此任何在您控制之外的网站资源都可以设置他的cookies。当然,cookie 将 visible/accessible 仅针对其域(而不是您的域)。
这是您的 GDPR 隐私问题,因为第 3 方公司可以通过这种方式跟踪用户,而且他们看到客户端 IP 和浏览器标志,这也可以解释为隐私问题。
无法阻止其他站点或服务器在使用其资产时安装 cookie。没有办法阻止它在服务器端发生。 GDPR 应该指出使这成为可能的浏览器,但明确地将责任推给了网站所有者。也就是说,您有一个网站,但资产本身不是您的。与嵌入 YouTube 剪辑的人一样,您对该内容不承担更多责任。现在,您可以测试它是否安装了 cookie,只需在隐身模式下打开图片 window,然后检查它是否安装了 cookie。现在,如果有任何带有看似随机 ID 号的 cookie,那么它可能正在跟踪,如果它有像 tracking=denied 这样的通用文本,那么它可能不是。请记住,大多数网站也必须按照这些法律行事,或者只是阻止欧盟国家,这要容易得多。
如果我使用来自外部站点的图像、样式表、网络字体或其他非脚本资源(例如热链接、嵌入或链接),该站点是否可以在用户设备上设置第三方 cookie他们访问我的网站?是否有任何 HTML 元素(脚本、小程序、iframe、对象或嵌入除外)可用于通过在 src 中使用外部 URL 来设置第三方 cookie 或href属性?
我知道您可以在您的网络服务器上做一些诡计,例如,将 .jpg 文件当作不同的文件类型(.php、.aspx 等)来处理,这可以设置 cookie 以及 return 样式表内容。我特别想问 "real" 图像或其他资源是否可用于设置 cookie。
我不是要做,我是要阻止。在尝试确保网站完全符合 GDPR 和 ePrivacy 标准时,我想到了这个问题。我知道 GDPR 问题是不允许的,我也不是在寻求法律建议。这更多是出于对看似 "safe" 共享第三方内容可能导致的安全和隐私问题的好奇心。
是
Cookies可以通过响应头来设置,因此任何在您控制之外的网站资源都可以设置他的cookies。当然,cookie 将 visible/accessible 仅针对其域(而不是您的域)。
这是您的 GDPR 隐私问题,因为第 3 方公司可以通过这种方式跟踪用户,而且他们看到客户端 IP 和浏览器标志,这也可以解释为隐私问题。
无法阻止其他站点或服务器在使用其资产时安装 cookie。没有办法阻止它在服务器端发生。 GDPR 应该指出使这成为可能的浏览器,但明确地将责任推给了网站所有者。也就是说,您有一个网站,但资产本身不是您的。与嵌入 YouTube 剪辑的人一样,您对该内容不承担更多责任。现在,您可以测试它是否安装了 cookie,只需在隐身模式下打开图片 window,然后检查它是否安装了 cookie。现在,如果有任何带有看似随机 ID 号的 cookie,那么它可能正在跟踪,如果它有像 tracking=denied 这样的通用文本,那么它可能不是。请记住,大多数网站也必须按照这些法律行事,或者只是阻止欧盟国家,这要容易得多。