下面来详细介绍下。回到顶部一、什么是 Cookies1.1 简介Cookie 是服务器通过 HTTP 响应头发送至浏览器、存储在用户本地设备上的小型文本数据文件主要用于识别用户身份、维持会话状态及记录用户偏好。其核心作用是解决 HTTP 协议的无状态特性使网站能够“记住”用户行为。三个特点数据形式以键值对如usernameJohn存储的纯文本文件仅能被创建它的服务器读取。存储位置由浏览器管理不同浏览器路径不同如Chrome 存储在 Cookies 文件中用户无法直接通过 JavaScript 修改非 HttpOnly 属性外的 Cookie 内容。自动传输浏览器在后续同域请求中自动将 Cookie 附加到 HTTP 请求头服务器通过解析识别用户身份。两种生命周期类型会话 Cookie无明确过期时间仅在浏览器会话期间有效关闭浏览器后自动删除常用于临时状态管理如购物车。持久 Cookie通过 Max-Age 或 Expires 属性设置过期时间如7 天关闭浏览器后仍长期有效用于“记住登录”等场景。实际上Cookie 并非传统意义上的“缓存”如资源复用而是会话状态管理工具需谨慎处理敏感信息。用户可通过浏览器设置管理或删除 Cookie但禁用必要 Cookie 可能导致部分功能失效。开发者应优先使用 HttpOnly Secure SameSiteStrict 组合最大限度保障安全性。1.2 按照功能可以分为三类必要、功能、追踪1必要 CookieEssential / Strictly Necessary Cookies这个类别是网站正常运行的“基础设施”也是网站提供用户明确要求的服务所绝对不可或缺的。三个主要作用会话管理维持用户的登录状态防止用户在浏览不同页面时被反复要求重新登录。安全与验证防范跨站请求伪造CSRF攻击验证用户身份保障支付和表单提交的安全性。负载均衡将用户的请求分配到不同的服务器确保网站在高并发下的稳定性。根据 GDPR通用数据保护条例等隐私法规必要 Cookie 通常不需要获取用户的明确同意即可部署但必须在隐私政策中向用户声明。生命周期特点绝大多数是会话级 CookieSession Cookie在用户关闭浏览器后会自动删除不会长期驻留。2功能 CookieFunctional / Preference Cookies此类别旨在提升用户体验的“个性化记忆”它们允许网站记住用户的选择和自定义设置。例如界面偏好记住用户选择的深色/浅色模式、字体大小、页面布局等。本地化设置保存用户选择的语言、国家/地区、货币单位等避免每次访问都要重新设置。多媒体与交互例如记住视频播放器上次播放的进度或保存用户在评论区输入的昵称。由于涉及收集用户的个人偏好数据通常需要事先获得用户的明确同意Opt-in。如果用户拒绝网站仍应可用但可能无法提供这些个性化便利。生命周期特点通常为持久性 CookiePersistent Cookie会设定一个较长的过期时间如几个月或一年以便用户下次访问时依然生效。3追踪 CookieTracking / Marketing / Analytics Cookies此类别是商业变现与数据洞察的“探针”主要用于分析用户行为、衡量广告效果或进行精准营销。常见的分析方法有三种数据分析Analytics收集匿名或半匿名的统计数据如页面访问量、停留时间、跳出率、用户点击热力图等帮助网站优化内容和结构如Google Analytics。广告定向Targeting/Advertising记录用户的浏览历史和兴趣标签构建用户画像从而在用户访问其他网站时推送高度相关的个性化广告。归因分析Attribution追踪用户是从哪个广告链接点击进入的帮助广告主评估营销活动的投资回报率ROI。传统的追踪 Cookie 多为第三方 Cookie由广告网络或分析平台而非当前访问的网站设置。随着隐私意识的觉醒和浏览器政策的变化如Safari 和 Firefox 已默认拦截Chrome 正在逐步淘汰第三方 Cookie这类 Cookie 的生存空间正在被大幅压缩行业正逐渐转向隐私沙盒Privacy Sandbox等新技术。追踪 Cookie 是隐私监管最严格的领域。包括浏览器在内的工具必须通过醒目的 Cookie 弹窗获取用户的明确同意且必须提供与“同意”同等便捷的“拒绝”选项。用户有权随时撤回同意并清除相关数据。在实际的网站开发或隐私合规审查中建议对这三类 Cookie 实行严格的分级管理非必要不收集收集必告知追踪必授权。这不仅是法律合规的要求也是建立用户信任、提升品牌声誉的关键。1.3 按来源可以分两类第一方、第三方第一方 Cookie 就像是“店铺的私人助理”只在本店为您服务提升您的购物体验而第三方 Cookie 则像是“尾随的陌生人”跟着您穿梭于各个店铺记录您的喜好并试图向您推销商品。1第一方 CookieFirst-Party Cookies此类 Cookie 指的是由用户当前正在访问的网站即浏览器地址栏中显示的域名直接创建和读取的数据文件。主要用途是服务于网站的核心功能与用户体验。例如保持用户的登录状态无需在每次跳转页面时重新验证保存电商购物车中的商品记住用户的语言、主题偏好或界面设置。第一方 Cookie 的数据仅在用户与当前网站之间传输不会与其他网站共享因此通常不被视为侵入式跟踪。所有主流浏览器均默认允许第一方 Cookie 的运行它们是维持现代互联网基础体验的必要技术。2第三方 CookieThird-Party Cookies由当前访问的网站域名之外的第三方如广告商、社交媒体插件、数据分析平台设置的 Cookie。它们通常通过网页中嵌入的外部资源如iframe、广告横幅、追踪脚本植入用户的设备。主要用途跨站追踪与商业变现。构建用户画像当用户访问多个嵌有同一第三方广告代码的网站时该第三方可以读取并合并这些 Cookie从而拼凑出用户的完整浏览历史、兴趣偏好和个人档案。精准定向广告基于收集到的跨站行为数据广告商可以在不同的网站上向用户推送高度个性化的广告例如在 A 网站搜索了手机在 B 网站的社交媒体上就会看到手机广告。第三方 Cookie 往往在用户不知情或未明确同意的情况下持续追踪用户的网络行为这引发了极大的隐私担忧甚至被用于实施身份盗窃或欺诈。GDPR通用数据保护条例和 CCPA加州消费者隐私法案等法规要求使用此类 Cookie 必须获得用户的明确同意并允许用户查看或删除相关数据。3行业趋势第三方 Cookie 的终结与替代由于严重的隐私问题整个互联网行业正在经历一场“去第三方 Cookie”的变革浏览器拦截苹果的 Safari 和 Mozilla 的 Firefox 浏览器早已默认阻止或严格限制第三方 Cookie 的跨站追踪行为。Chrome 的政策转向谷歌曾计划在 Chrome 浏览器中逐步淘汰第三方 Cookie并推出了“隐私沙盒Privacy Sandbox”计划作为替代方案旨在通过聚合用户兴趣群组而非追踪个体来实现广告投放。但受限于反垄断调查及行业阻力谷歌在 2025 年宣布终止该淘汰计划维持现状。尽管第三方 Cookie 的消亡进程有所波折但行业向“隐私优先”转型的趋势不可逆转。企业正越来越多地转向依赖第一方数据、情境智能广告Contextual Advertising以及统一身份识别方案如UID2.0来替代传统的第三方追踪。1.4 典型应用场景1会话管理用户登录状态维持服务器生成唯一 SessionID 存入 Cookie后续请求通过该 ID 识别用户避免重复登录。购物车数据保存电商网站利用 Cookie 临时存储未结算商品即使关闭页面后重新打开仍可恢复。2个性化服务偏好设置记忆自动应用用户选择的语言、字体大小等减少重复配置。内容定制根据历史行为推送相关内容如新闻推荐提升用户体验。3行为分析与广告流量统计匿名记录访问路径、停留时长等优化网站设计如 Google Analytics。精准营销基于浏览记录投放相关广告实现跨站追踪需用户同意。1.5 与其他缓存的区别特性CookieLocalStorage/SessionStorage存储容量≤4KB≥5MB自动随请求发送是同域请求自动附加否生命周期控制由服务器设置过期时间需手动清除或依赖会话主要用途会话管理、身份识别大容量数据缓存回到顶部二、什么是 Private state tokens2.1 简介Private State Tokens私有状态令牌简称 PST并非传统意义上的浏览器缓存类型而是一种隐私保护技术用于在不泄露用户身份的前提下验证用户行为真实性如区分真人与机器人。它不用于存储网页资源或会话数据而是通过加密令牌机制解决跨站跟踪与隐私泄露问题。隐私优先的身份验证PST 允许网站向用户发放匿名化验证令牌证明用户是“合法访问者”但不暴露具体身份信息避免传统 Cookie 跨站追踪问题。非缓存机制与 Cookie、LocalStorage 等存储技术不同PST 不用于缓存网页资源或用户数据而是专注于安全验证流程属于浏览器隐私沙箱的一部分。