Можно ли запретить отправку кук на домены не из адресной строки?
Я тут подумал... Вот имеет юзер аккаунт в Гугле, Яндексе, ФБ, ВК, Мейл.ру и тому подобных компаниях - нужное подчеркнуть. Разумеется, в 95% случаев он в нём залогинен перманентно, ибо неудобно каждый раз вводить пароль.
И вот заходит юзер на некий совершенно левый сайт, где могут стоять - гугл аналитика, яндекс директ, лайкалки, виджеты комментариев и так далее. То есть поисковики и соцсети могут не просто следить за посещениями других сайтов, но следить поимённо.
Вопрос: есть ли какие-то технологии, настройки или расширения, которые бы блокировали отправку кук на сервер, если документ загружается аяксом или в ифрейме? Ну то есть если юзер заходит конкретно на gmail.com, и именно этот урл в адресной строке - куки должна отправиться. А если сайт совершенно другой, но гугл там как-то слева-сбоку подгружается - он не должен получить ни одной куки, для него браузер должен выглядеть как будто он только что установлен.
Про AdBlock, uBlock, Ghostery и тому подобные блокировщики скриптов - это всё понятно, это тоже нужно, но это другой рубеж обороны. Речь именно про отправку кук.
Чтобы разрешить только основные файлы cookie, установите флажок "Блокировать сторонние файлы и данные сайтов". Обратите внимание, что эта настройка закрывает доступ к сторонним файлам cookie даже на страницах, добавленных в список исключений.
Об этих настройках я думал, но как я понял из описаний (поправьте, если ошибаюсь) это немного не то. Эти настройки блокируют ПРИЁМ кук со сторонних сайтов. То есть например будут заблочены куки какой-нибудь рекламной сети, код которой включен в страницу. Но про ЧТЕНИЕ ранее и легитимно установленных кук там, кажется, там не пишут. Как минимум у FF написано вполне четко "принимать". У Хрома формулровка более расплывчатая.
dom1n1k: не понимаю что вы хотите. Куки никакие не проходят, если не с этого же домена. Т.е. заходя на хабр, когда происходит запрос на счетчик от вк, то куки не отправляются.
Илья: Отправляются же куки самого ВК. Сопоставляя реферер (или апи-ключ, в общем случае) со своими собственными куками, ВК может понять - "Вася Пупкин зашел на Хабр". Не некий абстрактный хабраюзер, а именно Вася. Разве нет?
Поигрался с девтулсами - если говорить об одиночных файлах (картинки, шрифты, скрипты и пр), то действительно не отправляются.
Но тогда вопрос: а как же тогда, например, виджеты комментариев FB, VK, Disquss определяют своего пользователя? Я так понимаю, это возможно потому, что они грузятся через iframe и в этом случае куки всё-таки отправляются, верно? А iframe имеет доступ к родительскому документу.
То есть вопрос более узкий, чем я поначалу думал. Но всё-таки имеет место быть.
Короче, надо просто ифреймы заблочить :)
Средний
Простой
Простой
