img - incrustar imagen en html

La cookie generalmente se incluirá en cualquier tipo de solicitud, pero el escenario que describe es lo que se conoce como una cookie de terceros (es decir, la cookie se establece en un dominio que es diferente del dominio de la página cargada) y la mayoría los navegadores ofrecen una configuración de privacidad para bloquear las cookies de terceros.

Una cookie de terceros permite a los propietarios de bar.com colocar una imagen (por ejemplo, un anuncio publicitario) en foo.com y rastrear a los usuarios de foo.com, aunque esos usuarios nunca hayan visitado bar.com. Esta es una cuestión de privacidad y muchos usuarios eligen bloquear dichas cookies.

Sí, las cookies se envían en todas las solicitudes. Esto incluye "img" y "script", así como llamadas XMLHttpRquest desde JavaScript y puede ser un problema de seguridad en las etiquetas de script, ya que los scripts cargados por un sitio web pueden cargar scripts desde otro sitio y también enviarán sus cookies de autenticación. Esto puede ser explotado para robar datos.

Sí. HTTP no distingue entre un tipo de recurso u otro (imagen frente a html).

Si el usuario no bloquea las cookies de terceros, la mayoría de los navegadores modernos establecerán o enviarán cookies del dominio de terceros cuando se realice una solicitud al sitio web de un tercero. IE 6 tiene un tipo diferente de mecanismo de bloqueo llamado correaje. wiki: Una cookie con correa es una cookie de terceros que el navegador envía solo cuando se accede a un documento de un tercero a través de la misma parte interesada.