最近,关于 Cookie,发生了 Chrome80 屏蔽第三方 Cookie 的事件。第三方cookie会被屏蔽,除了CSRF攻击,还有就是泄露用户隐私,导致被跟踪。举个例子,你在百度如何防止脱发,看CDSN是侧边就会有个脱发广告,曾有一段时间我的CDSN侧边老是出现肾虚治疗的广告位,我也不知道跟踪啥得出来的,明明我是个女孩纸。淘宝,优酷,爱奇艺等等也会出现这样的情况,你在一个网站看了一个东西吧,另一个网站就狂给你推,反正吧,就是很烦,感觉有人隔着屏幕窥视你。
那么问题就来了,第三方cookie到底是怎么跟踪你的?禁止了cookie就会没人窥视你了吗?我们一个个来唠唠。
第三方cookie
与当前浏览页面域名相同的cookie就是第一方cookie,不同的就是第三方cookie。打开你的开发者工具,点击Application下,展开cookie,你就可以看到很多第一第三方cookie了,注意啊,一般情况下,你的脚本是不能操作(也获取不到)第三方cookie的。这个第三方cookie要通过http请求得到的,document.cookie中是没有的(为避免跨域脚本(xss)攻击,通过javascript的document.cookie无法访问带有HttpOnly标记的cookie)打开Network重新刷新,你是可以看到百度请求的cookie的。
第三方cookie如何用于跟踪
其实跟踪最麻烦的一点就是,他怎么确定在a网站和b网站的人是同一个人,只有确认了,才能你把a网站上看过的东西推给在b网站划水的你。自然而然了,就是这个第三方cookie,带有唯一确定的ID,确定这个人就是你。
合作网站先向广告商发送请求获取cookie,得到唯一的cookie,被记录下来。
当你浏览合作网站的某个页面时,就会向广告商发送带有这个cookie的请求,记录下你的操作。
广告商根据cookie知道你之前的操作,那么在其他网站向广告商发送带有这个cookie的请求后,就可以精准给你投放广告。
cookie的SameSite属性
就是这个属性限制了第三方cookie,详细,可以看阮一峰老师的博客,我就不搬运了,简单描述下:
- Strict:最严格,完全禁止第三方cookie
- Lax:默认是这个,链接,预加载请求,GET 表单可以使用第三方cookie
- None:可以使用第三方cookie,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。
第三方cookie会被屏蔽,也就是当前域名与cookie的domain不同时,发送HTTP请求时不会带上cookie,就会导致第三方广告平台无法记录用户的操作。但是这就会让我们避免被跟踪了吗?
想得美!!!
其他的广告投放方法
最传统的就是根据内容投放了,就是你这个网站是什么类型,这个网页是什么内容,投放什么的广告。
还有就是使用“浏览器指纹“代替第三方cookie跟踪你。每个人的浏览器看起来只有品牌的区别,实际上你的每项浏览器设置,还有你的硬件信息都决定你是独一无二的。想了解更多,可以看下这
对了,还要提示你,浏览器的隐身模式没有用,你只是待宰的羔羊,具体宰不宰还是看网站决定得。要是不想被跟踪,最好的方法就是禁用js,但这恐怕你也用不了几个网站了。
790
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
