Recentemente ho letto questo link
If we'd add a CNAME to a third party under the stackoverflow.com domain, they'd receive all our users cookies, which some sites are OK with, but we aren't.
Sulla risposta di m0sa è stato detto che l'uso dello stesso dominio del sito Web per inviare email comprometterebbe il cookie a terze parti. Com'è così? E cos'è questo CNAME?
CNAME è come un alias di dominio, ad esempio se fai email.stackoverflow.com un CNAME che punta a evil.com , chiunque cerchi di accedere a email .stackoverflow.com accederà effettivamente a qualunque server evil.com punta. Tuttavia, per quanto riguarda il browser, continua a pensare che stia accedendo a email.stackoverflow.com e invierà felicemente tutti i cookie impostati dal dominio principale, che potrebbero includere i token di sessione sensibili.
Usando un dominio completamente diverso (invece di un sottodominio) attenuano questo rischio e impediscono al loro provider di posta elettronica / newsletter di terze parti di ottenere i cookie di sessione dell'utente.
Il browser potrebbe inviare cookie se l'utente fa clic esplicitamente su qualsiasi link al sottodominio o se l'e-mail è in formato HTML e collega a risorse su quel dominio come immagini.