Установка cookie при запросе с другого домена — возможно?

Question

[Артём Пешков]

Добрый день. Имеются два сайта. На сайте "А" мне нужно незаметно для пользователя обратиться к сайту "Б" так, чтобы на последнем увидеть это обращение и установить куку для этого пользователя (анонимного).

На сайте Б код выглядит так (условно):

if (!empty($_GET['ref'])) {
   setcookie('ref', $_GET['ref'], time()+60*60*24*7, '/');
}

На сайте А пробую разные способы:

<iframe src="https://siteB.ru/?ref=123"></iframe>
<img src="https://siteB.ru/?ref=123" />
<link href="https://siteB.ru/?ref=123" rel="stylesheet">
<div style="background:url('https://siteB.ru/?ref=123');"></div>

Эти обращения на сайте Б логируются, я их вижу, но вот куки для пользователя - не ставятся. Т.е. я захожу сначала на сайт А, где есть приведенный выше html, затем перехожу на сайта Б - кук нет, хотя логи обращений есть. Сессионные переменные тоже не ставятся таким образом.

Подскажите, есть ли какая-то возможность реализовать поставленную задачу? Т.е., другими словами, незаметно обратиться от лица пользователя к стороннему сайту так, чтобы он увидел это как обычный заход посетителя.

Answer 1

[nokimaro]

При установке cookies выставляете ли флаг SameSite?
https://habr.com/ru/post/492830/
https://blog.chromium.org/2020/02/samesite-cookie-...
https://developer.mozilla.org/en-US/docs/Web/HTTP/...

Так же часто допускают ошибки в установке cookies, не правильно выставляя параметры secure и path.
А так классического трекинг-пикселя через img src всё ещё достаточно чтобы затрекать пользователя.

Answer 2

[Dimonchik]

езаметно обратиться от лица пользователя к стороннему сайту так, чтобы он увидел это как обычный заход посетителя.

да, накрутить систему без защиты простой вставкой в код все еще возможно

Answer 3

[Griboks]

Большинство продвинутых пользователей и даже современных браузеров блокируют контент третьих лица. Это не только куки, но и любые другие объекты, даже счётчики или реклама.

Answer 4

[kocherman]

Всеми способами куки сохраняются и передаются. Я лично использовал через <img src="">. Но партнерка палит этот момент и просто не высылает заголовки set-cookie по таким запросам (вот её и нету).
На каждую хитрую жопу всегда найдётся болт с обратной резьбой.

Answer 5

[Надим]

Вам просто надо использовать вместо Cookie хранилище localStorage, там таких проблем точно не будет. На сайте A открывайте фрейм, а на сайте Б вешаете какой-нибудь маркер в хранилище. Я сам куки стараюсь использовать по минимуму, уж очень антивирусы любят их чистить, как и разные блокировщики реклам.