看过很多 Cookie 的限制,包括大小,被禁止。
也经常看到说要处理 Cookie 被禁用时的情况,比如改用 url 传递参数。
我试了下禁用 Cookie,发现很多网站都访问不了,包括腾讯云、V2EX 、B 站,他们都没做禁用 Cookie 的兼容。
各位觉得,那我的网站是不是也不用考虑被禁用的情况?
你们有兼容禁用情况吗?
有人会禁用 Cookie 吗?
PS:我之前网站用 localstorage 存储的 token,现在改为 cookie 存储
1
zakokun 2021-06-28 11:52:57 +08:00 11
面试的时候需要处理,工作不需要
|
2
Xusually 2021-06-28 11:54:52 +08:00 3
😄禁用 Cookie ?淘宝连开了禁止跨站跟踪都不能正常使用,禁用还得了?
这个工作目前不是第一考虑的事儿,当然隐私怪们可能不能同意。 |
3
SaltyLeo 2021-06-28 11:56:41 +08:00 via iPhone
因为状态要靠 session 设置,例如用户登录状态、操作状态。
|
4
Leonard 2021-06-28 11:57:00 +08:00
我会禁用
|
5
shayuvpn0001 2021-06-28 11:57:21 +08:00 4
现在我自己基本上都是开 Chrome 隐身模式看网站。
|
6
ck65 2021-06-28 12:02:01 +08:00
隐身模式 +1 ( Incognito )
|
7
Ultraman 2021-06-28 12:04:31 +08:00 via Android 1
不禁用,但会用 cookie auto delete
|
8
libook 2021-06-28 12:06:44 +08:00 1
非 Web 客户端(比如手机 APP )适配 Cookies 通常比较麻烦,目前比较流行的是用类似 JWT 的方案来做,我们是因为这个所以在产品中完全去除了 Cookies 。
用户会话保持方面可以用其他更方便的技术,但目前 Cookies 仍然在用户行为追踪方面不大好被替代,所以各个隐私保护政策也是拿 Cookies 来开刀的。 |
9
westoy 2021-06-28 12:12:59 +08:00
中古时期有
早年 php 还是默认开启 url 传递 session id 的, 后来搞出一堆跨站偷 session id 的安全问题,才在 4.2.x 之后改成默认禁止的, 一晃快二十年了 ......... |
10
whileFalse 2021-06-28 12:24:21 +08:00 via iPhone 5
@shayuvpn0001 禁用和隐身模式是两回事。
|
11
fl2d 2021-06-28 12:26:43 +08:00
cookie auto delete + container
|
12
ShuoHui 2021-06-28 12:30:11 +08:00 via iPhone
现在 都用 onion 看需要科学的网站,国内的就算了,基本透明了
|
13
tabris17 2021-06-28 12:33:42 +08:00
禁 js 的可能都比禁 cookie 大
|
14
asuraa 2021-06-28 13:09:09 +08:00
可以禁止了 用 header 搞一个 key 服务端照样可以 session
|
15
balabalaguguji OP @Leonard #4 你禁用后不会很多网站用不了?基本没法用了呀
|
16
balabalaguguji OP @shayuvpn0001 #5 隐私模式没禁用 cookie
|
17
Leonard 2021-06-28 13:47:35 +08:00
@balabalaguguji #15 能禁用就禁用,不是所有都禁
|
18
shayuvpn0001 2021-06-28 14:21:29 +08:00
@whileFalse
@balabalaguguji 我知道啊,所以我还有 ABP 和隐私獾两个伺候,完全禁用 cookie 会导致无法登陆等问题,这两个加上隐私模式外加魔改 Hosts 可以阻挡大部分广告,埋点,统计。 |
20
no1xsyzy 2021-06-28 15:11:27 +08:00
我甚至直接 I don't care about cookies
确实禁 js 可能性更大(默认 ban 他域名脚本,除非 localcdn 接管的部分),但偶尔可能禁 cookies 进 cookies 的时候必然 **作好了不能(正常)访问的准备**。 |
21
towry 2021-06-28 15:26:07 +08:00
直接页面提示:您禁用了 cookie,请打开后再访问。
|
22
passerbytiny 2021-06-28 15:34:12 +08:00 via Android
你大概不知道,早期(实际上也不早,IE6.0 年代还算),禁用脚本(即 JS/Javascript )是推荐的安全配置。现在你敢禁用脚本试试。
HTTP 是无状态模式,要想做会话跟踪,你要么用 Cookie,要么用 URL 复写,后者问题更大。你禁用了 Cookie,基本上需要会话跟踪的网页一个也别想上了。 另外,localstorage 跟 cookie 是一样的存储风格,要么 localstorage 依赖 cookie,要么 localstorage 跟 cookie 依赖同样的底层。 |
23
keith1126 2021-06-28 16:06:01 +08:00
禁用所有 cookies 太极端了,一般会禁用 cross-site cookies,然后定期清 cookies
|
24
jim9606 2021-06-28 16:10:04 +08:00
感觉 Google 推动废 Cookies 的首要原因使法律环境。在很多国家,网站只要用了 Cookies 就要弄个 banner 或者浮窗获得用户同意,但用 LocalStorage+js 实现相同功能就不需要这个浮窗,只要网站有公告隐私政策就行。
可能 Google 觉得在所有请求上无脑附带 Cookies 属于滥用,也带来各种跨站的安全问题。LocalStorage 方案里,只要不是显式要求跟踪状态的请求(例如允许匿名访问的图片资源、js 库之类)就默认不带任何跟踪 ID 。 |
26
darknoll 2021-06-28 17:27:42 +08:00
禁用第三方 cookie
|
27
balabalaguguji OP @darknoll #26 还分第三方?什么意思
|
28
marczhao 2021-06-28 18:26:05 +08:00 via Android
用 Firefox 吧
First Party Isolation 一开,几个拓展一装 |
29
marczhao 2021-06-28 18:27:33 +08:00 via Android
(又点错了)再开个 Resist Fingerprinting 直接起飞,Adguard 开隐身模式,退出自动清 cookie 。
都不用禁 |
30
marczhao 2021-06-28 18:29:51 +08:00 via Android
设置里设置退出清 cookie 网站数据,都不用禁 cookie 。
v2 在我手机上按钮为什么没对齐,这次我看的分明我没点按钮回复(可能是 customization 太多了,做得太过了) |
31
crab 2021-06-28 18:29:53 +08:00
@balabalaguguji 限制第三方网站,比如广告。
|
32
balabalaguguji OP @crab #31 哦,懂了
|
33
haohong725 2021-06-28 18:42:07 +08:00
@zakokun 哈哈哈
|
34
liuidetmks 2021-06-28 18:44:37 +08:00
禁用 cookie 的需求,是伪需求。是怕你工作量不饱和
还有禁用 js 的需求,你做不做? |
35
snw 2021-06-28 19:52:17 +08:00 via Android
Google 、百度在禁用 js 禁用 cookies 的情况下,基本功能仍然正常。
|
36
ysc3839 2021-06-28 22:48:24 +08:00 via Android
禁用 js 的有见过,禁用 Cookie 的真的少见。不想被跟踪的话可以用无痕模式,关闭窗口时删除其中所有 Cookie,不会影响网站兼容性。
|
37
philipjf 2021-06-29 06:58:16 +08:00
除非禁用 cookie 能像 iOS 的阻止跟踪一样方便。
现在的状态是禁用 cookie 的功能更像安卓手机的权限控制一样又当又立,预设前提就是用户都愿意用隐私换“便利”。 用户所能做的最后的挣扎无非也就是浏览器的无痕浏览,但是无痕浏览又分两种: 谷歌系浏览器的所谓“无痕模式”只是在你完全退出浏览器的同时删除浏览记录,使用过程中还是全程被 360 度无死角跨站点跟踪,如果你忘记关闭谷歌系浏览器默认开启的允许后台运行的功能,那这个所谓“无痕模式”就是个笑话。 Safari 的无痕浏览算是把流氓站点的底裤都扒了,默认禁用跨站点跟踪,新开一个标签页都得重新登录,但是不影响绝大部分网页功能的正常使用。当然道高一尺魔高一丈,福报厂的网页版在 Safari 的无痕浏览模式下基本是废了。 |
38
docx 2021-06-29 07:12:09 +08:00 via Android
@jim9606 说到这个 banner,国内网站毫无印象,欧盟 IP 基本都有。感慨一句,一出国就乖起来了。
|
39
docx 2021-06-29 07:16:36 +08:00 via Android
再感慨一句,个人觉得禁用 Cookies 太极端了
像 Tor 默认隐私模式,退出就清 Cookies 我都略烦,每次都要重新登录…… 所以我还是会选择中和吧,常用网站保留 Cookies 不可避免,善用插件去广告、去跟踪,必要时候进无痕模式。 |
40
lixingjun 2021-06-29 08:20:32 +08:00
怎么理解禁用?客户端完全没有登录状态?还是说只要关闭页面或退出,cookie 就失效?像 chrome 的隐身模式?
|
41
eudore 2021-06-29 08:23:28 +08:00
作为用户使用 Incognito,作为程序员写代码禁用 cookie 。
|
42
Seanfuck 2021-06-29 09:23:04 +08:00
Firefox 可以设置“增强型跟踪保护”,我是设为严格,有些网站访问会乱跳,包括微博。
|
44
meepo3927 2021-06-29 11:33:42 +08:00
会有人用隐身模式
|
45
dfkjgklfdjg 2021-06-29 13:24:23 +08:00
7 年前没做开发的时候试过关闭 Cookie 一段时间,后来因为各种不便还是打开了.....
|
46
julyclyde 2021-06-29 14:20:55 +08:00
会有人禁用
但这种人没有业务价值,可以放弃 |
47
wowbaby 2021-06-30 09:37:43 +08:00
隐身模式并不禁用 cookie,应该是在黑盒内, 禁用的一般是开发者吧,session 依赖 cookie,禁用 session 将失效;
一般禁用了还能登录访问的,应该是生成了一个请求 ID, url 每次都会带这个 ID |