很多网站为了种种合规性考量(其中之一就是 GDPR ),都会弹窗 /横幅请求用户同意使用 Cookie 。个人觉得十分影响浏览体验。就在想为什么不把这部分逻辑统一规范,交给上级(如浏览器)去做?
比如,通过一套规范(如 HTML 的 meta 标签或 HTTP Header ),网站可以标注需要哪些 Cookie ,每个 Cookie 的名称、类型(持久 /非持久,跟踪 /登录)和简短的说明,并提供一个 Cookie 隐私页面的地址。用户可以在浏览器里设置自己默认接受哪些类型的 Cookie ,默认拒绝哪些,哪些需要询问。就如同网页索要定位权限,iOS App 索要跟踪权限一样。遇到没有按照标准的网站就拒绝所有 Cookie ,或者让浏览器询问用户“是否允许该网页使用 Cookie”,然后用户可以选择“本次允许”,“永久允许”,“仅允许非持久 Cookie”,“拒绝”等等。
只是自己的一点想法。或许已经有插件实现了?(我这里说的说的是统一化网页 Cookie 的权限,非屏蔽 Cookie 弹窗)
一旦 Cookie 权限控制标准得到了推广,那么网站对于支持这套标准的浏览器就不需要再弹窗了,用户体验得到提升。目前大多数浏览器控制 Cookie 都得手动开关,不会主动询问用户,也不对不同类型的 Cookie 进行区分)
不过这个确实比较难推广。如果 Cookie 这样搞了,那是否意味着 LocalStorage 等众多浏览器存储也需要搞,这些问题都是需要考虑的。
1
ZE3kr OP 还有一个问题就是网页里面的 iframe 、external file 的 Third-party Cookie 权限要怎么控制也是个问题。个人觉得可以在主页面额外标注其他域名的 Cookie ,用同样的权限控制系统。这样相比一刀切 Third-party cookie 要好很多。
还有一个问题就是现有的 in-app webview 如果想要支持这套 Cookie 权限系统可能还需要进行适配。 |
2
codehz 2022-03-19 09:55:53 +08:00
兼容的问题好说,主要看有没有人想推这个作为标准,至少作为地区性法律,例如在 GPDR 里加入这个统一 Cookies 声明框架,然后第一方浏览器提供 UI ,不能提供的才回退到传统方案(
只有靠法律做才能让网站方使用,不然就是这样故意恶心人,提供了也不会用 |
3
ZE3kr OP @codehz 还有就是除非分析每一条 HTTP 请求,否则你并不能知道网站上的 Popup 只是一个前端摆设还是真的会存储你的 Cookie 偏好并合规处理。浏览器理论上可以做到和位置请求一样,即使网站没有用新的标准,对每个使用了 Cookie 的网站询问用户“是否允许”等。目前苹果的 Safari 已经一律禁止了第三方 Cookie 了,极大程度上限制了跨站跟踪。但是否询问用户更加合理呢?
|
4
ZE3kr OP 有打算做一个实现上述功能的浏览器插件,支持 Mobile Safari 和桌面端大部分浏览器。
|
5
bnm965321 2022-03-19 12:08:43 +08:00
GPDR 的老爷们定义法规的时候并不真的懂到底怎么回事,最后出来的规则就是一个都知道是个表面功夫的 cookie banner
|
6
1423 2022-03-20 17:59:55 +08:00
大佬,请教 cf.tlo.xyz 是不做了吗?
|