Quando visito questo sito web, i cookie di Google Analytics vengono inviati dal mio browser insieme alla richiesta.
Questo va contro alla mia piena comprensione dei cookie, ovvero che i cookie vengono inviati al sito che li ha messi lì.
Come mai allora i cookie di Google (cioè analytics.google.com ) vengono inviati a security.stackexchange.com ?
I cookie impostati dagli script sono sempre associati al dominio della pagina web, non al dominio da cui proviene lo script. (Se così non fosse, sarebbe spesso facile includere uno script da un dominio remoto e un secondo script che ridefinisse le funzioni globali per ingannare il primo script in lettura o impostare cookie arbitrari sul dominio remoto.)
Security.SE include il file javascript google analytics nelle sue pagine Web, quindi lo script viene eseguito all'interno del dominio di Security.SE e tutti i cookie impostati dallo script sono associati al dominio Security.SE.
Questi possono essere i cookie di google, ma sono probabilmente generati dal codice JavaScript, cioè dalla tua pagina. Ecco perché vengono inviati alla tua pagina e non a Google.
Leggi altre domande sui tag local-storage cookies web-browser session-management csrf