1
hronro 2017-11-17 03:45:48 +08:00 via iPhone
欧洲那边的法律规定网站使用 cookie 前必须取得用户的同意
|
4
XiaoFaye 2017-11-17 04:20:47 +08:00 via Android
以前也是用 cookie 的啊,不过没有告诉你而已,现在是要在明显位置告诉用户。就是一个用户知情权的问题。
|
5
onsale 2017-11-17 04:32:06 +08:00 via Android
隐身模式看看 cookie 都有啥?
|
6
casparchen 2017-11-17 06:55:09 +08:00
|
7
milkice 2017-11-17 07:38:02 +08:00 via Android
@mrfox 这是欧洲网站强制要求的,比国内流氓站点姿势不知道高到哪里去了,在使用 cookie 前还会和你请求权限,国内的网站统统都是不管用户直接存取 cookie 的,我不知道你有什么理由厌烦 你把问题改成有没有脚本能免疫国内网站乱存 cookie 又不影响使用网站体验的解决方案比较有建设性
|
8
zpf124 2017-11-17 09:18:15 +08:00
我就想知道 不用 cookie 的时候,各位大佬你们的自动登录是怎么实现的?
|
9
davidyin 2017-11-17 09:18:59 +08:00
点击同意后,不会反复弹出来,并不麻烦。
|
11
chairuosen 2017-11-17 09:51:48 +08:00
别说自动登录了,没 cookie 登录都做不了
|
12
cy97cool 2017-11-17 09:56:32 +08:00 via Android
@chairuosen 登录还是可以做的,把原来要放在 cookie 里的东西放 query parameter 即可
|
13
qwertty01 2017-11-17 09:56:35 +08:00
有的网站没 Cookie,都访问不了。
|
14
zpf124 2017-11-17 09:57:57 +08:00
@FFLY 然而我一个后端垃圾码农看到这个有点无语...
不让我用 cookie 任何网站至少三分之一的内容就废了啊....用户登录都实现不了... sessionid 实际也得存 cookie 啊。只不过有效期是一次会话之内。 另外我咋没收到你的 回复提示啊... |
15
Sharuru 2017-11-17 09:59:26 +08:00 2
动不动就流氓不流氓……第一次知道 Cookies 么。
|
16
chairuosen 2017-11-17 09:59:38 +08:00
@cy97cool 然后分享到微博 /微信就连身份一起分享了
|
17
zpf124 2017-11-17 10:01:24 +08:00
@cy97cool 用户名密码放到 url 里,那估计网站就要黄了,
哪怕是 https 也不行啊,用户谁管你带 s 不带 s 什么差别。 “垃圾网站 明文传输我用户名密码” (虽然他们不知道,但其实 post 表单我们也是明文传输密码的) |
18
coderfox 2017-11-17 10:11:10 +08:00 via Android
|
19
mentalkiller 2017-11-17 10:11:30 +08:00
@zpf124 #14
其实使用 JWT 可以替代 cookie,但是这是从工程层面来说的。 然而 JWT 还是需要 local storage 的,从 LZ 的角度来看,这其实就是另一种形式的‘ cookie ’而已。 究其原因,是因为 HTTP 协议本身是无状态的,需要浏览器存储信息来保持状态。 |
20
chairuosen 2017-11-17 10:13:14 +08:00
@coderfox 那这个网页就不能 f5 刷新
|
21
cy97cool 2017-11-17 10:13:59 +08:00 via Android
@chairuosen 啊哈 确实没想到这一点,但见过有 tomcat 应用这么做的。。。
那还有啥东西可以代替 cookie 做登录状态嘛,对浏览器做 fingerprinting ? @zpf124 这就要靠 js 加密混淆让用户看不出了实际上是密码了,禁用 cookie 后所有链接全 post 隐藏提交 session id 也不是不可以。。。 还是直接不服务没允许 cookie 的用户最简单 |
22
chairuosen 2017-11-17 10:15:51 +08:00
@cy97cool yes fingerprinting+SPA 理论上可以
|
23
zzNucker 2017-11-17 10:29:54 +08:00
不用 cookie 你还上什么网。
|
24
zpf124 2017-11-17 10:35:54 +08:00
@coderfox
spa 纯后端接口也不行,sessionid 实际也是存在 cookie 里的,没有 sessionid 后端哪知道俩不同请求是不是来自同一个用户,难道根据 ip 判断么。 你楼下 @mentalkiller 说的 JWT 还行,SPA 的话可以直接 js 变量存 token,每次发请求从变量里去 token,这样算是完全没有“ cookie ”了。 |
25
coderfox 2017-11-17 10:40:54 +08:00 via Android
@zpf124 我还以为 SPA + 前后端分离都是用 token 认证的方案呢😂居然还可以用 sessionid,学习了。
|
26
Biwood 2017-11-17 10:43:40 +08:00
哈哈哈,V2EX 居然还有这么小白的用户,你不知道你现在浏览器的网页 90%以上都默认使用了 cookie 吗,老外因为法律原因必须通知用户,国内很多网站用了 cookie 都懒得通知你呢,不然怎么你在淘宝、京东搜索东西之后经常看到类似的广告推荐呢
|
27
zpf124 2017-11-17 10:51:02 +08:00
@coderfox 额,我毕竟是个后端,不太了解前端的新动向,现在 SPA 都流行 JWT 了吗... 我一直还以为这个东西比 spa 还小众,还只是在一些 geek 网站尝鲜体验而已。
|
28
coderfox 2017-11-17 11:02:06 +08:00 via Android
|
29
shanechiu 2017-11-17 11:22:32 +08:00
你们说的是锤子科技官网吗
|
30
honeycomb 2017-11-17 11:41:15 +08:00 via Android
@mrfox
1,无论声明怎么说,你总是可以拒绝使用 cookie,你可以做到拒绝下载 /储存网站上的任何东西(网站视图拒绝你的拒绝会更困难),更精确地,任何试图用来识别你 /你的浏览器 /你的设备的东西。 2,这是当地(欧洲)法律规定必须明示的 3,因为 1,有现成的工具可以阻止这些内容出现 |
31
lusheldon 2017-11-17 11:42:20 +08:00 via Android
HTTP 从无状态发展到有状态,现在又慢慢从有状态到无状态。即使现在用 token,也是存在 cookie 里面的,这个 cookie 在你登录的时候生成,存在内存中,关闭浏览器就消亡了。cookie 在保持状态这方面太重要了。再怎么 restful,服务器还是要知道你的登录状态。
另一方面 cookie 也用来投放广告,这种 cookie 是存储在文件中的,有时候你会奇怪为什么刚才使用搜索过的信息,再访问别的站点就有相应的广告了?这是因为广告联盟是有权限查看你在整个域,甚至多个域的 cookie 的。当然,真正敏感的信息应该存储在内存中。其他域的站点是不能访问的。 相比其他途径泄露的隐私,cookie 这点真不算什么。 |
32
f2f2f 2017-11-17 11:42:41 +08:00
说的你不同意之前就没拿你 cookie 干过啥一样
|
34
HYSS 2017-11-17 13:01:39 +08:00
真矫情
|
35
mrfox OP |
37
microhard 2017-11-17 15:09:21 +08:00
还在找隐私保护吗?为什么不直接把利益和软肋告诉服务商呢?
|
38
expy 2017-11-17 15:30:40 +08:00
提示了的才是好人啊,流氓都是直接用上。蛋疼可以浏览器禁用所有 cookies.
|
39
tabris17 2017-11-17 15:33:11 +08:00
不想被跟踪就用浏览器隐私模式呗
|
40
buyaoshuohua 2017-11-17 15:34:08 +08:00
大数据时代
|
41
killerv 2017-11-17 15:36:24 +08:00
凡是涉及到有状态的 http,感觉都少不了 cookie,在 url 中加参数可行,但是太蛋疼了
|
42
loryyang 2017-11-17 15:50:02 +08:00
首先 cookie 不一定是坏事,会保存用户状态,方便下次访问网站,比如免登录。但是现在主要问题是大量的推荐系统利用了 cookie,让人觉得隐私受到威胁
但是光 cookie 其实还好,更麻烦的是全 id 打通,也就是你的手机、pc,你所有的行为都会通过各种手段关联起来,形成你这个人的画像,用来做推荐什么的。一般一个大厂内部应该会把自家产品全部打通 |
43
xiaonengshou 2017-11-17 15:56:31 +08:00
其实还是这样比较好,禁用 cookie、禁用 js、禁用 css 渲染,禁用 http、禁用浏览器。
|
44
x86 2017-11-17 16:03:19 +08:00
老外放个屁的都是香的吧
|
45
lslqtz 2017-11-17 16:17:04 +08:00 via iPhone
不放 cookie 可以放 js 的……
明确和你说反而是好事 |
46
jadec0der 2017-11-17 16:36:39 +08:00
=_=
你以为那些国内公司就不用 cookie 了? 现在哪有不用 cookie 的网站 |
47
Technetiumer 2017-11-17 18:10:00 +08:00 via Android
chromium 瀏覽器原生就可以設置是否允許 cookies
我覺得那個提示有些多此一舉了 沒有 cookies 登陸狀態怎麼方便的保存? 而且還有 DNT,還不如規定必須要遵守 DNT,如果實在不能遵守 DNT 就拒絕服務含有 DNT 的請求 就像禁止 cookies 後用戶登錄不易實現一樣,禁止就拒絕服務。 |
48
fulvaz 2017-11-18 00:22:09 +08:00
关了 cookie 也有一万种方式收集你信息......
|
49
assad 2017-11-18 17:43:36 +08:00 via Android
矫情,有本事你全部禁用 cookie
|