¿Por qué los navegadores permiten configurar cookies en el dominio principal(cruzado) de un iframe?

browser privacy (1)

En mi opinión, se debe a la combinación del mecanismo CORS y al hecho de que la mayoría de los navegadores permiten las cookies de terceros de forma predeterminada.

Encontrará información útil en la página web de Cookies de Mozilla :

Si bien las cookies de origen se envían solo al servidor que las configura, una página web puede contener imágenes u otros componentes almacenados en servidores en otros dominios (como anuncios publicitarios ). Las cookies que se envían a través de estos componentes de terceros se denominan cookies de terceros y se utilizan principalmente para publicidad y seguimiento en toda la web.

[...] La mayoría de los navegadores permiten las cookies de terceros de forma predeterminada

Para evitar esta configuración predeterminada, es posible que las cookies de SameSite :

Permita que los servidores requieran que no se envíe una cookie con solicitudes entre sitios.

pero

Las cookies de SameSite aún son experimentales y aún no son compatibles con todos los navegadores .

Vea también la documentación de CORS (Intercambio de recursos entre orígenes) , donde puede leer eso:

El mecanismo CORS admite solicitudes seguras de dominio cruzado y transferencias de datos entre navegadores y servidores web. [...]

Este estándar de intercambio de origen cruzado se utiliza para habilitar las solicitudes HTTP entre sitios para:

[...]

• Scripts (para excepciones no silenciadas).

También puede observar en la página web de Mozilla Security Same-Origin del desarrollador que <frame> y <iframe> son recursos que pueden estar incrustados de origen cruzado

Si está preocupado y no aceptaría ninguna cookie de terceros en Firefox , aún puede instalar los complementos de Privacy Badger (creados por el EFF ), pero esta solución requiere acceso en el navegador del usuario.