@livid 我好像只置顶了 10 分钟，但是好像状态有两个小时？

@Chingim 不会的，点击那个链接上面的弹窗事件不会被 block，比如分享到微博啥的，我博客 https://luan.ma 的评论也是弹窗登录的，没问题

@explon safari 的策略太严格了

@explon 但是种了也很难读到，像 2 楼说的

@gonghao 你这种情况好像还可以挂一个 iframe 用 postMessage，不知道行不行

@gonghao 这样也不行吗，我其实没有苹果的机器，主要是看网上的文章说，只要是显式 set 都可以隐式读取。

蓝绿厂新千元机都上 660-710 了，小米的新千元机用联发科，哈哈，讽刺

我总结了一下，发了个帖子
https://www.v2ex.com/t/520756

我在 Github 上面看到一个更骚的操作，挂载一个 iframe，然后用 HTML5 的 postMessage 进行跨域通信

@FaiChou 他妙在用 js 域的 cookies 来存 token，兼容了浏览器不支持 localstorage 的情况，而且实现了跨域名追踪

js 在 pingjsqq.com
然后，核心代码是
a = "pvi";
window.localStorage ? localStorage.getItem(a) || sessionStorage.getItem(a) : (a = document.cookie.match(new RegExp("(?:^|;\\s)" + a + "=(.*?)(?:;\\s|$)"))) ? a[1] : "";
先获取当前域下面的 localStorage，如果没有，获取 pingjsqq.com 域下面的 cookies 里面的 id，然后 set 到当前域的 localstorage，下次再读取当前域的 localstorage

是 pingjs.qq.com 那个，很神奇，不知道有没大佬破解一下，关 cookies 重启浏览器依然可以保持不变

https://www.v2ex.com/i/NfbN8aiS.png

不过你可以研究下我网站上面那个 mta.qq.com 的请求，即使关闭了第三方 cookies，照样可以保持跟踪

MDN 其实也有写，我当初看到中文版没翻译到。
https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS#Requests_with_credentials
Third-party cookies
Note that cookies set in CORS responses are subject to normal third-party cookie policies. In the example above, the page is loaded from foo.example, but the cookie on line 22 is sent by bar.other, and would thus not be saved if the user has configured their browser to reject all third-party cookies.

@wuhuaji domain 好像完全跨域是不能用的，我也不太清楚

@FaiChou 是的，自从我升了 HTTP2 之后就不显示了，我开发的时候用 HTTP/1.1 啥事没有。但是如果不开阻止第三方的话，cookies 还是 set 到了

@wuhuaji 我想要做跨站保持同一个 cookies，以为这个是一个公开的 API，这个方法好像大多数时候是凑效的

@FaiChou 确实是我错了，如果 chrome 设置了阻止第三方 cookies，确实是发不上的。但是我用过的浏览器好像默认都不阻止。
Provisional headers are shown 是 Chrome 的祖传 Bug，对于部分 HTTP2 的连接故意不显示，其实抓包你就发现挺正常的。
没有 cookies 访问的时候有 set-cookies，你可以清空那个域下面的 cookies，再访问一次可能可以看到。
所以，好一点解决方法可能是用 localstorage 了，我当初也是为这个事情绞尽脑汁。
不过好像有些统计 js 是用浏览器指纹的技术，甚至跨浏览器都可以跟踪用户，具体我也没研究出来