V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
balabalaguguji
V2EX  ›  程序员

Cookie 真的会有人禁用吗?

  •  
  •   balabalaguguji · 2021-06-28 11:51:07 +08:00 · 7872 次点击
    这是一个创建于 1270 天前的主题,其中的信息可能已经有所发展或是发生改变。

    看过很多 Cookie 的限制,包括大小,被禁止。

    也经常看到说要处理 Cookie 被禁用时的情况,比如改用 url 传递参数。

    我试了下禁用 Cookie,发现很多网站都访问不了,包括腾讯云、V2EX 、B 站,他们都没做禁用 Cookie 的兼容。

    各位觉得,那我的网站是不是也不用考虑被禁用的情况?

    你们有兼容禁用情况吗?

    有人会禁用 Cookie 吗?

    PS:我之前网站用 localstorage 存储的 token,现在改为 cookie 存储

    第 1 条附言  ·  2021-06-28 14:52:55 +08:00
    发现禁用 cookie 后,localstorage 也是用不了的
    47 条回复    2021-06-30 09:37:43 +08:00
    zakokun
        1
    zakokun  
       2021-06-28 11:52:57 +08:00   ❤️ 11
    面试的时候需要处理,工作不需要
    Xusually
        2
    Xusually  
       2021-06-28 11:54:52 +08:00   ❤️ 3
    😄禁用 Cookie ?淘宝连开了禁止跨站跟踪都不能正常使用,禁用还得了?

    这个工作目前不是第一考虑的事儿,当然隐私怪们可能不能同意。
    SaltyLeo
        3
    SaltyLeo  
       2021-06-28 11:56:41 +08:00 via iPhone
    因为状态要靠 session 设置,例如用户登录状态、操作状态。
    Leonard
        4
    Leonard  
       2021-06-28 11:57:00 +08:00
    我会禁用
    shayuvpn0001
        5
    shayuvpn0001  
       2021-06-28 11:57:21 +08:00   ❤️ 4
    现在我自己基本上都是开 Chrome 隐身模式看网站。
    ck65
        6
    ck65  
       2021-06-28 12:02:01 +08:00
    隐身模式 +1 ( Incognito )
    Ultraman
        7
    Ultraman  
       2021-06-28 12:04:31 +08:00 via Android   ❤️ 1
    不禁用,但会用 cookie auto delete
    libook
        8
    libook  
       2021-06-28 12:06:44 +08:00   ❤️ 1
    非 Web 客户端(比如手机 APP )适配 Cookies 通常比较麻烦,目前比较流行的是用类似 JWT 的方案来做,我们是因为这个所以在产品中完全去除了 Cookies 。

    用户会话保持方面可以用其他更方便的技术,但目前 Cookies 仍然在用户行为追踪方面不大好被替代,所以各个隐私保护政策也是拿 Cookies 来开刀的。
    westoy
        9
    westoy  
       2021-06-28 12:12:59 +08:00
    中古时期有

    早年 php 还是默认开启 url 传递 session id 的, 后来搞出一堆跨站偷 session id 的安全问题,才在 4.2.x 之后改成默认禁止的, 一晃快二十年了 .........
    whileFalse
        10
    whileFalse  
       2021-06-28 12:24:21 +08:00 via iPhone   ❤️ 5
    @shayuvpn0001 禁用和隐身模式是两回事。
    fl2d
        11
    fl2d  
       2021-06-28 12:26:43 +08:00
    cookie auto delete + container
    ShuoHui
        12
    ShuoHui  
       2021-06-28 12:30:11 +08:00 via iPhone
    现在 都用 onion 看需要科学的网站,国内的就算了,基本透明了
    tabris17
        13
    tabris17  
       2021-06-28 12:33:42 +08:00
    禁 js 的可能都比禁 cookie 大
    asuraa
        14
    asuraa  
       2021-06-28 13:09:09 +08:00
    可以禁止了 用 header 搞一个 key 服务端照样可以 session
    balabalaguguji
        15
    balabalaguguji  
    OP
       2021-06-28 13:42:06 +08:00
    @Leonard #4 你禁用后不会很多网站用不了?基本没法用了呀
    balabalaguguji
        16
    balabalaguguji  
    OP
       2021-06-28 13:42:32 +08:00
    @shayuvpn0001 #5 隐私模式没禁用 cookie
    Leonard
        17
    Leonard  
       2021-06-28 13:47:35 +08:00
    @balabalaguguji #15 能禁用就禁用,不是所有都禁
    shayuvpn0001
        18
    shayuvpn0001  
       2021-06-28 14:21:29 +08:00
    @whileFalse
    @balabalaguguji

    我知道啊,所以我还有 ABP 和隐私獾两个伺候,完全禁用 cookie 会导致无法登陆等问题,这两个加上隐私模式外加魔改 Hosts 可以阻挡大部分广告,埋点,统计。
    ohwind
        19
    ohwind  
       2021-06-28 14:36:39 +08:00   ❤️ 12
    @Xusually 人家注重隐私搁你这成隐私怪了,要不发个你的裸照给咱们欣赏欣赏?😅
    no1xsyzy
        20
    no1xsyzy  
       2021-06-28 15:11:27 +08:00
    我甚至直接 I don't care about cookies

    确实禁 js 可能性更大(默认 ban 他域名脚本,除非 localcdn 接管的部分),但偶尔可能禁 cookies
    进 cookies 的时候必然 **作好了不能(正常)访问的准备**。
    towry
        21
    towry  
       2021-06-28 15:26:07 +08:00
    直接页面提示:您禁用了 cookie,请打开后再访问。
    passerbytiny
        22
    passerbytiny  
       2021-06-28 15:34:12 +08:00 via Android
    你大概不知道,早期(实际上也不早,IE6.0 年代还算),禁用脚本(即 JS/Javascript )是推荐的安全配置。现在你敢禁用脚本试试。

    HTTP 是无状态模式,要想做会话跟踪,你要么用 Cookie,要么用 URL 复写,后者问题更大。你禁用了 Cookie,基本上需要会话跟踪的网页一个也别想上了。

    另外,localstorage 跟 cookie 是一样的存储风格,要么 localstorage 依赖 cookie,要么 localstorage 跟 cookie 依赖同样的底层。
    keith1126
        23
    keith1126  
       2021-06-28 16:06:01 +08:00
    禁用所有 cookies 太极端了,一般会禁用 cross-site cookies,然后定期清 cookies
    jim9606
        24
    jim9606  
       2021-06-28 16:10:04 +08:00
    感觉 Google 推动废 Cookies 的首要原因使法律环境。在很多国家,网站只要用了 Cookies 就要弄个 banner 或者浮窗获得用户同意,但用 LocalStorage+js 实现相同功能就不需要这个浮窗,只要网站有公告隐私政策就行。

    可能 Google 觉得在所有请求上无脑附带 Cookies 属于滥用,也带来各种跨站的安全问题。LocalStorage 方案里,只要不是显式要求跟踪状态的请求(例如允许匿名访问的图片资源、js 库之类)就默认不带任何跟踪 ID 。
    zoharSoul
        25
    zoharSoul  
       2021-06-28 16:16:11 +08:00
    @jim9606 #24 我感觉也是... 如果不是默认携带 cookie, 就不会有所谓的跨域安全问题
    darknoll
        26
    darknoll  
       2021-06-28 17:27:42 +08:00
    禁用第三方 cookie
    balabalaguguji
        27
    balabalaguguji  
    OP
       2021-06-28 17:53:31 +08:00
    @darknoll #26 还分第三方?什么意思
    marczhao
        28
    marczhao  
       2021-06-28 18:26:05 +08:00 via Android
    用 Firefox 吧
    First Party Isolation 一开,几个拓展一装
    marczhao
        29
    marczhao  
       2021-06-28 18:27:33 +08:00 via Android
    (又点错了)再开个 Resist Fingerprinting 直接起飞,Adguard 开隐身模式,退出自动清 cookie 。
    都不用禁
    marczhao
        30
    marczhao  
       2021-06-28 18:29:51 +08:00 via Android
    设置里设置退出清 cookie 网站数据,都不用禁 cookie 。

    v2 在我手机上按钮为什么没对齐,这次我看的分明我没点按钮回复(可能是 customization 太多了,做得太过了)
    crab
        31
    crab  
       2021-06-28 18:29:53 +08:00
    @balabalaguguji 限制第三方网站,比如广告。
    balabalaguguji
        32
    balabalaguguji  
    OP
       2021-06-28 18:38:54 +08:00
    @crab #31 哦,懂了
    haohong725
        33
    haohong725  
       2021-06-28 18:42:07 +08:00
    @zakokun 哈哈哈
    liuidetmks
        34
    liuidetmks  
       2021-06-28 18:44:37 +08:00
    禁用 cookie 的需求,是伪需求。是怕你工作量不饱和

    还有禁用 js 的需求,你做不做?
    snw
        35
    snw  
       2021-06-28 19:52:17 +08:00 via Android
    Google 、百度在禁用 js 禁用 cookies 的情况下,基本功能仍然正常。
    ysc3839
        36
    ysc3839  
       2021-06-28 22:48:24 +08:00 via Android
    禁用 js 的有见过,禁用 Cookie 的真的少见。不想被跟踪的话可以用无痕模式,关闭窗口时删除其中所有 Cookie,不会影响网站兼容性。
    philipjf
        37
    philipjf  
       2021-06-29 06:58:16 +08:00
    除非禁用 cookie 能像 iOS 的阻止跟踪一样方便。
    现在的状态是禁用 cookie 的功能更像安卓手机的权限控制一样又当又立,预设前提就是用户都愿意用隐私换“便利”。
    用户所能做的最后的挣扎无非也就是浏览器的无痕浏览,但是无痕浏览又分两种:
    谷歌系浏览器的所谓“无痕模式”只是在你完全退出浏览器的同时删除浏览记录,使用过程中还是全程被 360 度无死角跨站点跟踪,如果你忘记关闭谷歌系浏览器默认开启的允许后台运行的功能,那这个所谓“无痕模式”就是个笑话。
    Safari 的无痕浏览算是把流氓站点的底裤都扒了,默认禁用跨站点跟踪,新开一个标签页都得重新登录,但是不影响绝大部分网页功能的正常使用。当然道高一尺魔高一丈,福报厂的网页版在 Safari 的无痕浏览模式下基本是废了。
    docx
        38
    docx  
       2021-06-29 07:12:09 +08:00 via Android
    @jim9606 说到这个 banner,国内网站毫无印象,欧盟 IP 基本都有。感慨一句,一出国就乖起来了。
    docx
        39
    docx  
       2021-06-29 07:16:36 +08:00 via Android
    再感慨一句,个人觉得禁用 Cookies 太极端了

    像 Tor 默认隐私模式,退出就清 Cookies 我都略烦,每次都要重新登录……

    所以我还是会选择中和吧,常用网站保留 Cookies 不可避免,善用插件去广告、去跟踪,必要时候进无痕模式。
    lixingjun
        40
    lixingjun  
       2021-06-29 08:20:32 +08:00
    怎么理解禁用?客户端完全没有登录状态?还是说只要关闭页面或退出,cookie 就失效?像 chrome 的隐身模式?
    eudore
        41
    eudore  
       2021-06-29 08:23:28 +08:00
    作为用户使用 Incognito,作为程序员写代码禁用 cookie 。
    Seanfuck
        42
    Seanfuck  
       2021-06-29 09:23:04 +08:00
    Firefox 可以设置“增强型跟踪保护”,我是设为严格,有些网站访问会乱跳,包括微博。
    MonkeyD1
        43
    MonkeyD1  
       2021-06-29 09:26:41 +08:00
    @Seanfuck 我说呢 当时用 firefox 一些网站首页一直循环跳转跳不过去
    meepo3927
        44
    meepo3927  
       2021-06-29 11:33:42 +08:00
    会有人用隐身模式
    dfkjgklfdjg
        45
    dfkjgklfdjg  
       2021-06-29 13:24:23 +08:00
    7 年前没做开发的时候试过关闭 Cookie 一段时间,后来因为各种不便还是打开了.....
    julyclyde
        46
    julyclyde  
       2021-06-29 14:20:55 +08:00
    会有人禁用
    但这种人没有业务价值,可以放弃
    wowbaby
        47
    wowbaby  
       2021-06-30 09:37:43 +08:00
    隐身模式并不禁用 cookie,应该是在黑盒内, 禁用的一般是开发者吧,session 依赖 cookie,禁用 session 将失效;
    一般禁用了还能登录访问的,应该是生成了一个请求 ID, url 每次都会带这个 ID
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3144 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 12:59 · PVG 20:59 · LAX 04:59 · JFK 07:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.