Ответ 1
На мой взгляд, это связано с комбинацией механизма CORS и тем фактом, что большинство браузеров разрешают сторонние файлы cookie по умолчанию.
Вы найдете полезную информацию на веб-странице Mozilla Cookies разработчика:
Хотя файлы cookie сторонних производителей отправляются только на сервер, устанавливающий их, веб-страница может содержать изображения или другие компоненты, хранящиеся на серверах в других доменах (например, рекламные баннеры). Куки файлы, которые отправляются через эти сторонние компоненты, называются сторонними куками и в основном используются для рекламы и отслеживания в Интернете.
[...] Большинство браузеров разрешают сторонние файлы cookie по умолчанию
Чтобы избежать этих настроек по умолчанию, вы можете быть обеспокоены SameSite которые:
пусть серверы требуют, чтобы файл cookie не отправлялся с межсайтовыми запросами
но
Печенье SameSite все еще экспериментально и пока не поддерживается всеми браузерами.
Взгляните также на документацию CORS (Cross-Origin Resource Sharing), где вы можете прочитать:
Механизм CORS поддерживает безопасные междоменные запросы и передачу данных между браузерами и веб-серверами. [...]
Этот стандарт совместного использования перекрестного происхождения используется для включения HTTP-запросов на межсайтовый сайт для:
[...]
- Скрипты (для исключенных исключений).
На веб-странице Mozilla Security Same-Origin вы также можете отметить, что <frame> и <iframe> являются ресурсами, которые могут быть встроены в кросс-начало
Если вы беспокоитесь и не принимаете сторонние файлы cookie в Firefox, вы все равно можете установить дополнения для защитного барьера (сделанные EFF), но для этого решения требуется доступ в браузере пользователя.