当我访问的网站上嵌入了一个Youtube视频,而我事先登录了Youtube,嵌入的视频如何知道它是我,所以我可以将它添加到我的"稍后观看"列表?
我认为过程是这样的:嵌入视频的网站会收到Youtube cookie。
1。那是什么饼干?我的会话验证了cookie ?是否还发送了CSRF令牌?
我认为该网站虽然收到了cookie,但它无法读取/访问它们。
2。Youtube是否也会因为视频位于iframe内而接收和读取这些cookie ?所以它能认出我吗?如果视频不包含在iframe中,但网站只是以plain tag/href的形式链接到Youtube视频/图像文件,Youtube是否仍然能够接收cookie,但实际上无法读取它们?我的意思是iframe有什么不同之处
3。Youtube不通过嵌入视频设置第三方cookie吗?这是否意味着它可以跟踪我访问其他网站,嵌入视频/元素从Youtube?
当您登录到YouTube时,在您的浏览器中有一个cookie(实际上,许多cookie),该cookie随每个请求发送到youtube.com并将对您进行身份验证。所以当你在youtube.com上打开一个页面时,你会立即登录。当然,你对youtube.com的所有请求都可以被跟踪,并与你的谷歌账户相关联。
如果您没有登录,YouTube可能会使用类似的cookie来识别您的浏览器,但不会显示您的Google帐户。这至少标识了您发出的所有请求属于同一个请求。
当youtube.com页面嵌入在其他一些(非youtube)页面的iframe中,情况几乎相同,除了cookie然后被视为第三方,因为cookie域youtube.com不同于嵌入域otherpage.org。根据设置,您的浏览器可能会拒绝在iframe向youtube.com发出的请求中包含此cookie。这个请求是未经身份验证的,不能与你的谷歌帐户相关联(或与以前的请求来自同一浏览器)。
可能有其他方法来尝试识别不依赖于cookie的用户,但我不知道YouTube是否使用它们。