V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
mrfox
V2EX  ›  问与答

N 多网站都提示要看需要同意用 cookie,大家是怎么应对的

  •  
  •   mrfox · 2017-11-17 03:42:28 +08:00 · 7952 次点击
    这是一个创建于 2562 天前的主题,其中的信息可能已经有所发展或是发生改变。
    49 条回复    2017-11-18 17:43:36 +08:00
    hronro
        1
    hronro  
       2017-11-17 03:45:48 +08:00 via iPhone
    欧洲那边的法律规定网站使用 cookie 前必须取得用户的同意
    mrfox
        2
    mrfox  
    OP
       2017-11-17 03:47:29 +08:00   ❤️ 1
    @hronro 哦,有没有脚本能免疫这个又不影响使用网站呢
    hronro
        3
    hronro  
       2017-11-17 04:03:05 +08:00
    @mrfox #2 免疫是什么意思,让网站用一下 cookie 又不会死
    XiaoFaye
        4
    XiaoFaye  
       2017-11-17 04:20:47 +08:00 via Android
    以前也是用 cookie 的啊,不过没有告诉你而已,现在是要在明显位置告诉用户。就是一个用户知情权的问题。
    onsale
        5
    onsale  
       2017-11-17 04:32:06 +08:00 via Android
    隐身模式看看 cookie 都有啥?
    casparchen
        6
    casparchen  
       2017-11-17 06:55:09 +08:00
    milkice
        7
    milkice  
       2017-11-17 07:38:02 +08:00 via Android
    @mrfox 这是欧洲网站强制要求的,比国内流氓站点姿势不知道高到哪里去了,在使用 cookie 前还会和你请求权限,国内的网站统统都是不管用户直接存取 cookie 的,我不知道你有什么理由厌烦 你把问题改成有没有脚本能免疫国内网站乱存 cookie 又不影响使用网站体验的解决方案比较有建设性
    zpf124
        8
    zpf124  
       2017-11-17 09:18:15 +08:00
    我就想知道 不用 cookie 的时候,各位大佬你们的自动登录是怎么实现的?
    davidyin
        9
    davidyin  
       2017-11-17 09:18:59 +08:00
    点击同意后,不会反复弹出来,并不麻烦。
    FFLY
        10
    FFLY  
       2017-11-17 09:22:28 +08:00
    @zpf124 在精神洁癖面前,自动登录这种用户体验,是可以弃的。
    chairuosen
        11
    chairuosen  
       2017-11-17 09:51:48 +08:00
    别说自动登录了,没 cookie 登录都做不了
    cy97cool
        12
    cy97cool  
       2017-11-17 09:56:32 +08:00 via Android
    @chairuosen 登录还是可以做的,把原来要放在 cookie 里的东西放 query parameter 即可
    qwertty01
        13
    qwertty01  
       2017-11-17 09:56:35 +08:00
    有的网站没 Cookie,都访问不了。
    zpf124
        14
    zpf124  
       2017-11-17 09:57:57 +08:00
    @FFLY 然而我一个后端垃圾码农看到这个有点无语...
    不让我用 cookie 任何网站至少三分之一的内容就废了啊....用户登录都实现不了...
    sessionid 实际也得存 cookie 啊。只不过有效期是一次会话之内。

    另外我咋没收到你的 回复提示啊...
    Sharuru
        15
    Sharuru  
       2017-11-17 09:59:26 +08:00   ❤️ 2
    动不动就流氓不流氓……第一次知道 Cookies 么。
    chairuosen
        16
    chairuosen  
       2017-11-17 09:59:38 +08:00
    @cy97cool 然后分享到微博 /微信就连身份一起分享了
    zpf124
        17
    zpf124  
       2017-11-17 10:01:24 +08:00
    @cy97cool 用户名密码放到 url 里,那估计网站就要黄了,
    哪怕是 https 也不行啊,用户谁管你带 s 不带 s 什么差别。

    “垃圾网站 明文传输我用户名密码”
    (虽然他们不知道,但其实 post 表单我们也是明文传输密码的)
    coderfox
        18
    coderfox  
       2017-11-17 10:11:10 +08:00 via Android
    @chairuosen @zpf124
    做成 SPA,后端纯接口,无 cookie 也能跑😀
    mentalkiller
        19
    mentalkiller  
       2017-11-17 10:11:30 +08:00
    @zpf124 #14
    其实使用 JWT 可以替代 cookie,但是这是从工程层面来说的。
    然而 JWT 还是需要 local storage 的,从 LZ 的角度来看,这其实就是另一种形式的‘ cookie ’而已。

    究其原因,是因为 HTTP 协议本身是无状态的,需要浏览器存储信息来保持状态。
    chairuosen
        20
    chairuosen  
       2017-11-17 10:13:14 +08:00
    @coderfox 那这个网页就不能 f5 刷新
    cy97cool
        21
    cy97cool  
       2017-11-17 10:13:59 +08:00 via Android
    @chairuosen 啊哈 确实没想到这一点,但见过有 tomcat 应用这么做的。。。

    那还有啥东西可以代替 cookie 做登录状态嘛,对浏览器做 fingerprinting ?

    @zpf124 这就要靠 js 加密混淆让用户看不出了实际上是密码了,禁用 cookie 后所有链接全 post 隐藏提交 session id 也不是不可以。。。
    还是直接不服务没允许 cookie 的用户最简单
    chairuosen
        22
    chairuosen  
       2017-11-17 10:15:51 +08:00
    @cy97cool yes fingerprinting+SPA 理论上可以
    zzNucker
        23
    zzNucker  
       2017-11-17 10:29:54 +08:00
    不用 cookie 你还上什么网。
    zpf124
        24
    zpf124  
       2017-11-17 10:35:54 +08:00
    @coderfox
    spa 纯后端接口也不行,sessionid 实际也是存在 cookie 里的,没有 sessionid 后端哪知道俩不同请求是不是来自同一个用户,难道根据 ip 判断么。


    你楼下 @mentalkiller 说的 JWT 还行,SPA 的话可以直接 js 变量存 token,每次发请求从变量里去 token,这样算是完全没有“ cookie ”了。
    coderfox
        25
    coderfox  
       2017-11-17 10:40:54 +08:00 via Android
    @zpf124 我还以为 SPA + 前后端分离都是用 token 认证的方案呢😂居然还可以用 sessionid,学习了。
    Biwood
        26
    Biwood  
       2017-11-17 10:43:40 +08:00
    哈哈哈,V2EX 居然还有这么小白的用户,你不知道你现在浏览器的网页 90%以上都默认使用了 cookie 吗,老外因为法律原因必须通知用户,国内很多网站用了 cookie 都懒得通知你呢,不然怎么你在淘宝、京东搜索东西之后经常看到类似的广告推荐呢
    zpf124
        27
    zpf124  
       2017-11-17 10:51:02 +08:00
    @coderfox 额,我毕竟是个后端,不太了解前端的新动向,现在 SPA 都流行 JWT 了吗... 我一直还以为这个东西比 spa 还小众,还只是在一些 geek 网站尝鲜体验而已。
    coderfox
        28
    coderfox  
       2017-11-17 11:02:06 +08:00 via Android
    @zpf124
    我也是后端,之前一直以为 token 方案更适合 SPA 来着,看来不是这样啊。
    我觉得 JWT 方案还是挺小众的,在实现很多功能上表现也不如传统的好。
    shanechiu
        29
    shanechiu  
       2017-11-17 11:22:32 +08:00
    你们说的是锤子科技官网吗
    honeycomb
        30
    honeycomb  
       2017-11-17 11:41:15 +08:00 via Android
    @mrfox
    1,无论声明怎么说,你总是可以拒绝使用 cookie,你可以做到拒绝下载 /储存网站上的任何东西(网站视图拒绝你的拒绝会更困难),更精确地,任何试图用来识别你 /你的浏览器 /你的设备的东西。

    2,这是当地(欧洲)法律规定必须明示的

    3,因为 1,有现成的工具可以阻止这些内容出现
    lusheldon
        31
    lusheldon  
       2017-11-17 11:42:20 +08:00 via Android
    HTTP 从无状态发展到有状态,现在又慢慢从有状态到无状态。即使现在用 token,也是存在 cookie 里面的,这个 cookie 在你登录的时候生成,存在内存中,关闭浏览器就消亡了。cookie 在保持状态这方面太重要了。再怎么 restful,服务器还是要知道你的登录状态。
    另一方面 cookie 也用来投放广告,这种 cookie 是存储在文件中的,有时候你会奇怪为什么刚才使用搜索过的信息,再访问别的站点就有相应的广告了?这是因为广告联盟是有权限查看你在整个域,甚至多个域的 cookie 的。当然,真正敏感的信息应该存储在内存中。其他域的站点是不能访问的。
    相比其他途径泄露的隐私,cookie 这点真不算什么。
    f2f2f
        32
    f2f2f  
       2017-11-17 11:42:41 +08:00
    说的你不同意之前就没拿你 cookie 干过啥一样
    Shura
        33
    Shura  
       2017-11-17 11:43:43 +08:00
    @mrfox 哦,有没有脚本能不让马吃草还是让马使劲跑?
    HYSS
        34
    HYSS  
       2017-11-17 13:01:39 +08:00
    真矫情
    mrfox
        35
    mrfox  
    OP
       2017-11-17 14:55:18 +08:00
    @casparchen #6 感谢感谢

    同时感谢其他讨论的楼层,单纯喷的可以看我另一贴中的建议就不赘述了
    Pastsong
        36
    Pastsong  
       2017-11-17 14:59:43 +08:00
    @mrfox 根据 mrfox 的设置,主题列表被隐藏
    microhard
        37
    microhard  
       2017-11-17 15:09:21 +08:00
    还在找隐私保护吗?为什么不直接把利益和软肋告诉服务商呢?
    expy
        38
    expy  
       2017-11-17 15:30:40 +08:00
    提示了的才是好人啊,流氓都是直接用上。蛋疼可以浏览器禁用所有 cookies.
    tabris17
        39
    tabris17  
       2017-11-17 15:33:11 +08:00
    不想被跟踪就用浏览器隐私模式呗
    buyaoshuohua
        40
    buyaoshuohua  
       2017-11-17 15:34:08 +08:00
    大数据时代
    killerv
        41
    killerv  
       2017-11-17 15:36:24 +08:00
    凡是涉及到有状态的 http,感觉都少不了 cookie,在 url 中加参数可行,但是太蛋疼了
    loryyang
        42
    loryyang  
       2017-11-17 15:50:02 +08:00
    首先 cookie 不一定是坏事,会保存用户状态,方便下次访问网站,比如免登录。但是现在主要问题是大量的推荐系统利用了 cookie,让人觉得隐私受到威胁
    但是光 cookie 其实还好,更麻烦的是全 id 打通,也就是你的手机、pc,你所有的行为都会通过各种手段关联起来,形成你这个人的画像,用来做推荐什么的。一般一个大厂内部应该会把自家产品全部打通
    xiaonengshou
        43
    xiaonengshou  
       2017-11-17 15:56:31 +08:00
    其实还是这样比较好,禁用 cookie、禁用 js、禁用 css 渲染,禁用 http、禁用浏览器。
    x86
        44
    x86  
       2017-11-17 16:03:19 +08:00
    老外放个屁的都是香的吧
    lslqtz
        45
    lslqtz  
       2017-11-17 16:17:04 +08:00 via iPhone
    不放 cookie 可以放 js 的……
    明确和你说反而是好事
    jadec0der
        46
    jadec0der  
       2017-11-17 16:36:39 +08:00
    =_=
    你以为那些国内公司就不用 cookie 了?
    现在哪有不用 cookie 的网站
    Technetiumer
        47
    Technetiumer  
       2017-11-17 18:10:00 +08:00 via Android
    chromium 瀏覽器原生就可以設置是否允許 cookies
    我覺得那個提示有些多此一舉了
    沒有 cookies 登陸狀態怎麼方便的保存?
    而且還有 DNT,還不如規定必須要遵守 DNT,如果實在不能遵守 DNT 就拒絕服務含有 DNT 的請求
    就像禁止 cookies 後用戶登錄不易實現一樣,禁止就拒絕服務。
    fulvaz
        48
    fulvaz  
       2017-11-18 00:22:09 +08:00
    关了 cookie 也有一万种方式收集你信息......
    assad
        49
    assad  
       2017-11-18 17:43:36 +08:00 via Android
    矫情,有本事你全部禁用 cookie
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3661 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 10:17 · PVG 18:17 · LAX 02:17 · JFK 05:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.