Cookie是否随图像请求一起发送?

对。HTTP不区分一种资源或另一种资源(图像与html)。

cookie通常会包含在任何类型的请求中,但是您描述的场景称为 第三方cookie (也就是说,cookie设置在与加载页面的域不同的域上)并且大多数浏览器提供隐私设置来阻止第三方cookie。

如果用户没有阻止第三方cookie,那么大多数现代浏览器在向第三方网站发出请求时都会设置或发送第三方域的cookie。ie6有一种不同的阻塞机制,称为leashing。wiki:leashed cookie是第三方cookie,只有通过同一第一方访问第三方文档时,浏览器才会发送该cookie。

是的,所有请求都会发送cookies。 这包括“img”和“script”以及来自javascript的XMLHttpRquest调用,这可能是脚本标签上的安全问题,因为一个网站加载的脚本可以从另一个网站加载脚本,并将发送其身份验证cookie。这可以被用来窃取数据。

aspx/js/css/image 请求需要cookie验证。