Cross-Origin-Embedder-Policy: credentialless が blink で Ship された。

この図がすべてを物語っている。

Untitled

<!-- http://ad.example.com/image.php -->

<?php
header("Access-Control-Allow-Origin: *");

setcookie('test', 'waiwai', [
    'path' => '/',
    'secure' => true,
    'httponly' => true,
    "samesite" => 'None',
]);

$name = './image.svg';
$fp = fopen($name, 'rb');

header("Content-Type: image/svg+xml");
header("Content-Length: " . filesize($name));

fpassthru($fp);
exit;
?>

Same Origin もしくは crossorigin="use-credentials" が指定されている場合のみ Cookie が送信される。

<!-- application.com -->
<?php
header("Cross-Origin-Embedder-Policy: credentialless");
header("Cross-Origin-Opener-Policy: same-origin");
?>

<html>
<body>
<!-- ad.example.com の Cookie は送信されない -->
<img src="http://ad.example.com/image.php" />
<!-- ad.example.com の Cookie は送信される -->
<img src="http://ad.example.com/image.php" crossorigin="use-credentials" />
</body>
</html>