N 多网站都提示要看需要同意用 cookie，大家是怎么应对的

欧洲那边的法律规定网站使用 cookie 前必须取得用户的同意

@hronro 哦，有没有脚本能免疫这个又不影响使用网站呢

@mrfox #2 免疫是什么意思，让网站用一下 cookie 又不会死

以前也是用 cookie 的啊，不过没有告诉你而已，现在是要在明显位置告诉用户。就是一个用户知情权的问题。

隐身模式看看 cookie 都有啥？

@mrfox 这是欧洲网站强制要求的，比国内流氓站点姿势不知道高到哪里去了，在使用 cookie 前还会和你请求权限，国内的网站统统都是不管用户直接存取 cookie 的，我不知道你有什么理由厌烦 你把问题改成有没有脚本能免疫国内网站乱存 cookie 又不影响使用网站体验的解决方案比较有建设性

我就想知道 不用 cookie 的时候，各位大佬你们的自动登录是怎么实现的？

点击同意后，不会反复弹出来，并不麻烦。

@zpf124 在精神洁癖面前，自动登录这种用户体验，是可以弃的。

别说自动登录了，没 cookie 登录都做不了

@chairuosen 登录还是可以做的，把原来要放在 cookie 里的东西放 query parameter 即可

有的网站没 Cookie，都访问不了。

@FFLY 然而我一个后端垃圾码农看到这个有点无语...
不让我用 cookie 任何网站至少三分之一的内容就废了啊....用户登录都实现不了...
sessionid 实际也得存 cookie 啊。只不过有效期是一次会话之内。

另外我咋没收到你的 回复提示啊...

动不动就流氓不流氓……第一次知道 Cookies 么。

@cy97cool 然后分享到微博 /微信就连身份一起分享了

@cy97cool 用户名密码放到 url 里，那估计网站就要黄了，
哪怕是 https 也不行啊，用户谁管你带 s 不带 s 什么差别。

“垃圾网站 明文传输我用户名密码”
(虽然他们不知道，但其实 post 表单我们也是明文传输密码的)

@chairuosen @zpf124
做成 SPA，后端纯接口，无 cookie 也能跑😀

@zpf124 #14
其实使用 JWT 可以替代 cookie，但是这是从工程层面来说的。
然而 JWT 还是需要 local storage 的，从 LZ 的角度来看，这其实就是另一种形式的‘ cookie ’而已。

究其原因，是因为 HTTP 协议本身是无状态的，需要浏览器存储信息来保持状态。

@coderfox 那这个网页就不能 f5 刷新

@chairuosen 啊哈 确实没想到这一点，但见过有 tomcat 应用这么做的。。。

那还有啥东西可以代替 cookie 做登录状态嘛，对浏览器做 fingerprinting ？

@zpf124 这就要靠 js 加密混淆让用户看不出了实际上是密码了，禁用 cookie 后所有链接全 post 隐藏提交 session id 也不是不可以。。。
还是直接不服务没允许 cookie 的用户最简单

@cy97cool yes fingerprinting+SPA 理论上可以

不用 cookie 你还上什么网。

@coderfox
spa 纯后端接口也不行，sessionid 实际也是存在 cookie 里的，没有 sessionid 后端哪知道俩不同请求是不是来自同一个用户，难道根据 ip 判断么。


你楼下 @mentalkiller 说的 JWT 还行，SPA 的话可以直接 js 变量存 token，每次发请求从变量里去 token，这样算是完全没有“ cookie ”了。

@zpf124 我还以为 SPA + 前后端分离都是用 token 认证的方案呢😂居然还可以用 sessionid，学习了。

哈哈哈，V2EX 居然还有这么小白的用户，你不知道你现在浏览器的网页 90%以上都默认使用了 cookie 吗，老外因为法律原因必须通知用户，国内很多网站用了 cookie 都懒得通知你呢，不然怎么你在淘宝、京东搜索东西之后经常看到类似的广告推荐呢

@coderfox 额，我毕竟是个后端，不太了解前端的新动向，现在 SPA 都流行 JWT 了吗... 我一直还以为这个东西比 spa 还小众，还只是在一些 geek 网站尝鲜体验而已。

@zpf124
我也是后端，之前一直以为 token 方案更适合 SPA 来着，看来不是这样啊。
我觉得 JWT 方案还是挺小众的，在实现很多功能上表现也不如传统的好。

你们说的是锤子科技官网吗

@mrfox
1，无论声明怎么说，你总是可以拒绝使用 cookie，你可以做到拒绝下载 /储存网站上的任何东西（网站视图拒绝你的拒绝会更困难），更精确地，任何试图用来识别你 /你的浏览器 /你的设备的东西。

2，这是当地（欧洲）法律规定必须明示的

3，因为 1，有现成的工具可以阻止这些内容出现

HTTP 从无状态发展到有状态，现在又慢慢从有状态到无状态。即使现在用 token，也是存在 cookie 里面的，这个 cookie 在你登录的时候生成，存在内存中，关闭浏览器就消亡了。cookie 在保持状态这方面太重要了。再怎么 restful，服务器还是要知道你的登录状态。
另一方面 cookie 也用来投放广告，这种 cookie 是存储在文件中的，有时候你会奇怪为什么刚才使用搜索过的信息，再访问别的站点就有相应的广告了？这是因为广告联盟是有权限查看你在整个域，甚至多个域的 cookie 的。当然，真正敏感的信息应该存储在内存中。其他域的站点是不能访问的。
相比其他途径泄露的隐私，cookie 这点真不算什么。

说的你不同意之前就没拿你 cookie 干过啥一样

@mrfox 哦，有没有脚本能不让马吃草还是让马使劲跑？

真矫情

@casparchen #6 感谢感谢

同时感谢其他讨论的楼层，单纯喷的可以看我另一贴中的建议就不赘述了

@mrfox 根据 mrfox 的设置，主题列表被隐藏

还在找隐私保护吗？为什么不直接把利益和软肋告诉服务商呢？

提示了的才是好人啊，流氓都是直接用上。蛋疼可以浏览器禁用所有 cookies.

不想被跟踪就用浏览器隐私模式呗

大数据时代

凡是涉及到有状态的 http，感觉都少不了 cookie，在 url 中加参数可行，但是太蛋疼了

首先 cookie 不一定是坏事，会保存用户状态，方便下次访问网站，比如免登录。但是现在主要问题是大量的推荐系统利用了 cookie，让人觉得隐私受到威胁
但是光 cookie 其实还好，更麻烦的是全 id 打通，也就是你的手机、pc，你所有的行为都会通过各种手段关联起来，形成你这个人的画像，用来做推荐什么的。一般一个大厂内部应该会把自家产品全部打通

其实还是这样比较好，禁用 cookie、禁用 js、禁用 css 渲染，禁用 http、禁用浏览器。

老外放个屁的都是香的吧

不放 cookie 可以放 js 的……
明确和你说反而是好事

=_=
你以为那些国内公司就不用 cookie 了？
现在哪有不用 cookie 的网站

chromium 瀏覽器原生就可以設置是否允許 cookies
我覺得那個提示有些多此一舉了
沒有 cookies 登陸狀態怎麼方便的保存？
而且還有 DNT，還不如規定必須要遵守 DNT，如果實在不能遵守 DNT 就拒絕服務含有 DNT 的請求
就像禁止 cookies 後用戶登錄不易實現一樣，禁止就拒絕服務。

关了 cookie 也有一万种方式收集你信息......

矫情，有本事你全部禁用 cookie