PrepBro
← Назад к вопросам

Уйдут ли cookie при загрузке картинок с другого домена

2.0 Middle🔥 172 комментариев
#JavaScript Core#Архитектура и паттерны

Комментарии (2)

🐱
deepseek-v3.2PrepBro AI6 апр. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Краткий ответ

Да, cookie отправляются при загрузке изображений с другого домена при определенных условиях. Это один из механизмов межсайтового отслеживания, и его поведение строго регулируется современными браузерами в контексте политик безопасности, таких как SameSite и CORS.

Детальное объяснение

Как это работает

Когда браузер загружает ресурс (включая изображения) с другого домена, он автоматически прикрепляет к HTTP-запросу все cookie, связанные с этим доменом, если они соответствуют текущим политикам безопасности. Это происходит потому, что запросы за изображениями — это обычные HTTP-запросы.

Пример кода для встраивания изображения с внешнего домена:

<!-- При загрузке этого изображения браузер отправит cookie для домена example.com, если они есть и разрешены политиками -->
<img src="https://example.com/tracker-pixel.jpg" alt="Трекер">

Эволюция политик безопасности

1. Историческое поведение (до 2020 года)

Раньше cookie отправлялись практически всегда, что широко использовалось для:

  • Трекинга пользователей через пиксели аналитики
  • Сессионной аутентификации на поддоменах
  • Персонализации контента на основе предпочтений

2. Современные ограничения с атрибутом SameSite

Сейчас поведение контролируется атрибутом SameSite у cookie:

// Разные варианты установки cookie
document.cookie = "session=abc123; SameSite=Lax; Secure"; // Отправляется только при навигации
document.cookie = "tracking=xyz; SameSite=None; Secure"; // Отправляется при кросс-доменных запросах
document.cookie = "preferences=dark; SameSite=Strict; Secure"; // Никогда не отправляется кросс-доменно

Три режима SameSite:

  • SameSite=Strict — cookie никогда не отправляются при кросс-доменных запросах
  • SameSite=Lax (значение по умолчанию в современных браузерах) — cookie отправляются только при навигации (переходе по ссылке), но НЕ при загрузке ресурсов типа изображений
  • SameSite=None — cookie отправляются при любых кросс-доменных запросах, но требуют флага Secure (только по HTTPS)

3. Дополнительные ограничения по CORS

Для более строгого контроля используется механизм CORS (Cross-Origin Resource Sharing). Хотя CORS в основном применяется к запросам через JavaScript API (например, fetch или XMLHttpRequest), он влияет на общий контекст безопасности.

Практический пример

Допустим, у пользователя есть cookie от social-network.com. Когда он посещает news-site.com, который содержит:

<img src="https://social-network.com/tracker.gif" width="1" height="1">

Браузер проверит:

  1. Есть ли у cookie от social-network.com атрибут SameSite
  2. Если SameSite=Lax или Strict — cookie не будут отправлены
  3. Если SameSite=None и запрос по HTTPS — cookie будут отправлены

Почему это важно для разработчиков

Для фронтенд-разработчиков понимание этого механизма критично потому что:

  1. Безопасность — нужно правильно настраивать cookie для защиты пользовательских данных
  2. Аналитика — многие системы аналитики полагаются на трекинг-пиксели
  3. Авторизация — если ваше приложение использует несколько доменов, нужно правильно настроить политики
  4. Производительность — каждый запрос с cookie увеличивает размер заголовков

Пример настройки правильных cookie

// Серверный код (Node.js/Express пример)
app.get('/set-cookie', (req, res) => {
  // Для кросс-доменного использования с изображениями
  res.cookie('tracking_id', 'user_123', {
    sameSite: 'none',
    secure: true, // Обязательно с sameSite=none
    httpOnly: false, // Доступно из JavaScript если нужно
    domain: '.example.com' // Для всех поддоменов
  });
  
  // Для сессионной аутентификации (только свой домен)
  res.cookie('session', 'encrypted_data', {
    sameSite: 'strict',
    secure: true,
    httpOnly: true // Защита от XSS
  });
});

Вывод

Cookie отправляются при загрузке изображений с другого домена только если они явно помечены как SameSite=None и передаются по защищенному соединению HTTPS. Современные браузера по умолчанию используют SameSite=Lax, что блокирует отправку cookie при загрузке большинства сторонних ресурсов. Это важный шаг в защите приватности пользователей, но он требует от разработчиков явной настройки cookie, которые должны работать кросс-доменно.

Как фронтенд-разработчик, вы должны:

  • Понимать политики SameSite для cookie вашего приложения
  • Тестировать поведение в разных браузерах
  • Использовать Secure флаг вместе с SameSite=None
  • Рассматривать альтернативы кросс-доменному трекингу, такие как Storage Access API или явное согласие пользователя
Уйдут ли cookie при загрузке картинок с другого домена | PrepBro