Perlukah saya menyekat semua kuki?

Menyekat semua kuki memecahkan setiap tapak yang memerlukan log masuk. Sekat kuki pihak ketiga (lalai dalam penyemak imbas moden) dan gunakan "clear on browser close" untuk pihak pertama jika anda mahukan ketekunan yang minimum. Pendekatan blok selimut biasanya terlalu menyakitkan.

Adakah VPN menjejaskan kuki?

VPN menukar identiti rangkaian anda, bukan keadaan penyemak imbas anda. Kuki yang disimpan oleh penyemak imbas anda sebelum VPN dihidupkan kekal — dan terus mengenal pasti anda ke tapak tersebut selepas VPN disambungkan. Untuk mendapatkan sesi yang bersih, gabungkan VPN dengan profil penyemak imbas baharu atau tetingkap penyemakan imbas peribadi.

Apakah kuki sesi vs kuki berterusan?

Kuki sesi tidak mempunyai set Tamat Tempoh/Umur Maks dan dikosongkan apabila penyemak imbas ditutup. Kuki yang berterusan mempunyai tarikh luput yang jelas dan kekal sehingga itu. Kebanyakan sistem log masuk menggunakan kuki berterusan dengan tamat tempoh yang lama supaya anda tidak perlu log masuk setiap lawatan.

Bolehkah kuki mengandungi virus?

Tidak. Kuki hanyalah rentetan teks; mereka tidak boleh melaksanakan. Risikonya ialah kuki mungkin mengandungi ID sesi, yang boleh digunakan oleh penyerang yang mencurinya untuk menyamar sebagai anda. Itulah sebabnya bendera Secure dan HttpOnly wujud.

Adakah sepanduk kuki itu akan hilang?

Akhirnya, sebagai isyarat pilih keluar piawai (GPC) menggantikan sepanduk setiap tapak. Overhed sepanduk semasa adalah sebahagiannya kesan sampingan peraturan yang memerlukan persetujuan yang jelas tetapi tidak menentukan satu mekanisme teknikal untuk menyatakannya. Isyarat peringkat penyemak imbas membetulkannya. Pengangkatan sedang dijalankan; sepanduk akan pudar selama bertahun-tahun, bukan berbulan-bulan.

Kuki HTTP Diterangkan: Pihak Pertama, Pihak Ketiga, SameSite dan Kematian Penjejakan yang Lambat

Kuki ialah nilai teks kecil yang disimpan oleh penyemak imbas dan dihantar semula dengan setiap permintaan ke tapak. Mereka menguasakan sesi log masuk, troli beli-belah dan pilihan bahasa — dan selama tiga puluh tahun mereka menjanakan keseluruhan ekosistem pengiklanan web. Mekanik teknikal adalah mudah. Akibat politik memenuhi doket peraturan di tiga benua.

Badan artikel penuh disediakan dalam bahasa Inggeris di bawah.

Kuki HTTP ialah pasangan nilai nama yang dihantar pelayan kepada penyemak imbas dengan pengepala Set-Cookie. Penyemak imbas menyimpannya dan menghantarnya kembali ke asal yang sama pada setiap permintaan berikutnya melalui pengepala Cookie. Setiap kuki mempunyai domain, laluan, tamat tempoh dan satu set bendera. Penyemak imbas mengehadkan storan bagi setiap asal dan jumlah — had biasa ialah 50 kuki bagi setiap domain, 4 KB setiap satu.

Perkara kuki lakukan

TTiga kes penggunaan utama:

Pengenalan sesi. Apabila anda log masuk sesi ID secara rawak, pelayan akan memberikan anda kuki masuk. Setiap permintaan seterusnya termasuk kuki, membenarkan pelayan mengenal pasti anda tanpa mengesahkan semula.
Preferences. Pilihan tema, pemilihan bahasa, sepanduk terakhir dilihat. Disimpan dalam teks biasa, tiada perjalanan pergi balik pelayan diperlukan.
TTracking. Pengecam unik yang berterusan ditetapkan awal dan dibaca oleh rangkaian iklan dan analitis merentas permintaan — perkara yang cuba dikekang oleh setiap peraturan privasi sejak 2018.

PLZ2PLyparty2XPLy vs thirdZ2AXXy cookies third-party kuki pihak pertama ditetapkan oleh tapak yang anda lawati — example.com menetapkan kuki untuk example.com. Ini kuasa kes penggunaan "kekalkan saya log masuk" yang sah.
A kuki pihak ketiga ditetapkan oleh domain lain yang kandungannya dibenamkan dalam halaman — iframe iklan, piksel penjejakan, butang "suka" Facebook. Apabila pengguna kemudiannya melawat tapak lain yang turut membenamkan penjejak itu, penyemak imbas menghantar balik kuki pihak ketiga yang sama, membolehkan penjejak mengenali pengguna merentas kedua-dua tapak. Ini ialah penjejakan merentas tapak yang dibina atas kapitalisme pengawasan.

Kematian kuki pihak ketiga

Safari ialah penyemak imbas utama pertama yang menyekat kuki pihak ketiga secara lalai (ITP, 2017). Firefox diikuti pada 2019 dengan Perlindungan Penjejakan Dipertingkat. Chrome, penahanan kerana perniagaan iklan Google bergantung kepada mereka, telah melancarkan sekatan separa hingga 2024–2026, dengan penyekatan kuki pihak ketiga penuh dirancang tetapi berulang kali ditangguhkan. Sehingga akhir 2025, majoriti sesi penyemak imbas di seluruh dunia menyekat kuki pihak ketiga secara lalai.

Industri pengiklanan telah bertindak balas dengan penyelesaian (penyelubungan CNAME, pengetegan sisi pelayan, FLoC dan API Topik, cap jari penyemak imbas), tetapi kuki pihak ketiga yang ringkas sebagai mekanisme penjejakan kebanyakannya sudah tamat.

X matter

Secure — kuki dihantar hanya melalui HTTPS. Wajib untuk mana-mana kuki sesi. Kuki sesi tidak selamat dihantar dalam teks biasa pada rangkaian yang bermusuhan dan boleh dicuri secara remeh.
HttpOnly — kuki tidak boleh dibaca oleh JavaScript melalui document.cookie. Mempertahankan terhadap kecurian sesi berasaskan XSS.
SameSite — mengawal apabila kuki dihantar pada permintaan merentas tapak:
- Strict: hanya dihantar pada navigasi dan permintaan tapak yang sama. Paling selamat, boleh memecahkan beberapa aliran pautan merentas tapak.
- Lax: dihantar pada navigasi merentas tapak peringkat atas (klik pautan) tetapi bukan pada XHR atau subsumber merentas tapak. Lalai moden.
- Tiada: dihantar pada setiap permintaan merentas tapak; memerlukan Secure. Digunakan untuk pembenaman merentas tapak yang sah (cth., widget log masuk yang dihoskan CDN).
Domain — mengawal subdomain yang menerima kuki. Set kuki dengan Domain=example.com dihantar ke www.example.com, api.example.com, dsb.
Path kepada URL kuki tertentu — mengehadkan di bawah laluan kuki tertentu awalan.
Max-Age / Expires — apabila kuki tamat tempoh. Kuki sesi (tiada tamat tempoh) dikosongkan apabila penyemak imbas ditutup.

Cookies vs localStorage vs sessionStorage

Cookies dihantar dengan setiap permintaan HTTP ke asal, yang berguna untuk pengenalan sisi pelayan tetapi menambah overhed pada setiap permintaan. localStorage dan sessionStorage adalah JavaScript sahaja — mereka tidak melakukan perjalanan dengan permintaan HTTP, lebih besar (5–10 MB biasa) dan berterusan (localStorage) atau bertahan hanya untuk sesi tab (sessionStorage). Untuk data yang tidak diperlukan oleh pelayan, localStorage adalah lebih cekap.

Lapisan persetujuan kuki

GDPR (Eropah), CCPA (California), LGPD (Brazil) dan beberapa yang lain memerlukan tapak untuk mendedahkan kuki penjejakan dan mendapatkan persetujuan. Hasilnya ialah sepanduk kuki yang anda lihat pada setiap halaman pada tahun 2026 — biasanya menyenggol "Terima semua", kadangkala menawarkan kawalan berbutir. Isyarat GPC (Kawalan Privasi Global) piawai membolehkan pengguna menarik diri secara pemrograman, diiktiraf oleh undang-undang California dan diterima pakai oleh Firefox/DuckDuckGo/Brave. Menghormati GPC kini boleh dikuatkuasakan secara sah di California; bidang kuasa lain adalah berikut.

Selain kuki: penjejakan alternatif

As kuki menjadi dikawal, penjejak dipelbagaikan: Evercookie memasukkan ID ke 20+ lokasi storan, termasuk IndexedDB, Pekerja Perkhidmatan, ETag dan HSTS. Cap jari membina pengecam daripada seratus isyarat pasif. Pengetegan sebelah pelayan mengalihkan penjejak ke belakang CNAME pihak pertama supaya ia kelihatan seperti tapak itu sendiri. Kuki mungkin mati sebagai alat utama, tetapi matlamat — pengenalpastian semula merentas sesi — telah menghasilkan setengah dozen penggantian.

Soalan lazim

Perlukah saya menyekat semua kuki?: Menyekat semua kuki memecahkan setiap tapak yang memerlukan log masuk. Sekat kuki pihak ketiga (lalai dalam penyemak imbas moden) dan gunakan "clear on browser close" untuk pihak pertama jika anda mahukan ketekunan yang minimum. Pendekatan blok selimut biasanya terlalu menyakitkan.
Adakah VPN menjejaskan kuki?: VPN menukar identiti rangkaian anda, bukan keadaan penyemak imbas anda. Kuki yang disimpan oleh penyemak imbas anda sebelum VPN dihidupkan kekal — dan terus mengenal pasti anda ke tapak tersebut selepas VPN disambungkan. Untuk mendapatkan sesi yang bersih, gabungkan VPN dengan profil penyemak imbas baharu atau tetingkap penyemakan imbas peribadi.
Apakah kuki sesi vs kuki berterusan?: Kuki sesi tidak mempunyai set Tamat Tempoh/Umur Maks dan dikosongkan apabila penyemak imbas ditutup. Kuki yang berterusan mempunyai tarikh luput yang jelas dan kekal sehingga itu. Kebanyakan sistem log masuk menggunakan kuki berterusan dengan tamat tempoh yang lama supaya anda tidak perlu log masuk setiap lawatan.
Bolehkah kuki mengandungi virus?: Tidak. Kuki hanyalah rentetan teks; mereka tidak boleh melaksanakan. Risikonya ialah kuki mungkin mengandungi ID sesi, yang boleh digunakan oleh penyerang yang mencurinya untuk menyamar sebagai anda. Itulah sebabnya bendera Secure dan HttpOnly wujud.
Adakah sepanduk kuki itu akan hilang?: Akhirnya, sebagai isyarat pilih keluar piawai (GPC) menggantikan sepanduk setiap tapak. Overhed sepanduk semasa adalah sebahagiannya kesan sampingan peraturan yang memerlukan persetujuan yang jelas tetapi tidak menentukan satu mekanisme teknikal untuk menyatakannya. Isyarat peringkat penyemak imbas membetulkannya. Pengangkatan sedang dijalankan; sepanduk akan pudar selama bertahun-tahun, bukan berbulan-bulan.