Эмпирически подтверждено вживую 2026-07-04: инъекция cookies валидной
аутентифицированной test-аккаунт сессии (Sber ID) полностью обходит QRATOR
reputation-блок DomClick, даже на уже подозрительном прокси-IP (проверено:
проход через camoufox context.addCookies() → 200 + полный __SSR_STATE__ на
IP, который секундами ранее отдавал anti-bot страницу без cookies).
- domclick_session_cookies (миграция 174) + app/services/domclick_session.py —
зеркалит существующий cian_session.py (pgp_sym_encrypt, account_cas_id вместо
account_user_id), без verify_session (DomClick-верификация требует реального
browser-фетча, не curl_cffi — future enhancement).
- POST /scrape/domclick/upload-cookies — ручная загрузка (зеркалит upload_cian_cookies).
- POST /scrape/domclick/debug/detail-fetch — единственный сейчас живой путь
прогнать связку session→cookies→fetch_detail (боевой backfill-оркестратор
для DomClick ещё не смёржен). source="domclick" — выделенный резидентный
прокси-пул (id=1, provider_affinity='domclick'), построенный и verified
в этой же сессии, а не устаревший source="cian" из старой рекомендации.
- _assert_domclick_host — SSRF-guard для *.domclick.ru поддоменов (реальные
карточки живут на региональных поддоменах, не на голом domclick.ru).
- server.py/browser_fetcher.py: cookies-параметр расширяет origin-механизм
(#2430) той же схемой — keyword-only, default None → byte-identical для
avito/cian/yandex. Домен cookie выводится из hostname целевого URL
(провайдер-агностично), не захардкожен под domclick.