第三方cookie是如何窥视你的？

最近，关于 Cookie，发生了 Chrome80 屏蔽第三方 Cookie 的事件。第三方cookie会被屏蔽，除了CSRF攻击，还有就是泄露用户隐私，导致被跟踪。举个例子，你在百度如何防止脱发，看CDSN是侧边就会有个脱发广告，曾有一段时间我的CDSN侧边老是出现肾虚治疗的广告位，我也不知道跟踪啥得出来的，明明我是个女孩纸。淘宝，优酷，爱奇艺等等也会出现这样的情况，你在一个网站看了一个东西吧，另一个网站就狂给你推，反正吧，就是很烦，感觉有人隔着屏幕窥视你。

那么问题就来了，第三方cookie到底是怎么跟踪你的？禁止了cookie就会没人窥视你了吗？我们一个个来唠唠。

第三方cookie

与当前浏览页面域名相同的cookie就是第一方cookie，不同的就是第三方cookie。打开你的开发者工具，点击Application下，展开cookie，你就可以看到很多第一第三方cookie了，注意啊，一般情况下，你的脚本是不能操作（也获取不到）第三方cookie的。这个第三方cookie要通过http请求得到的，document.cookie中是没有的（为避免跨域脚本(xss)攻击，通过javascript的document.cookie无法访问带有HttpOnly标记的cookie）打开Network重新刷新，你是可以看到百度请求的cookie的。

第三方cookie如何用于跟踪

其实跟踪最麻烦的一点就是，他怎么确定在a网站和b网站的人是同一个人，只有确认了，才能你把a网站上看过的东西推给在b网站划水的你。自然而然了，就是这个第三方cookie，带有唯一确定的ID，确定这个人就是你。

合作网站先向广告商发送请求获取cookie，得到唯一的cookie，被记录下来。
当你浏览合作网站的某个页面时，就会向广告商发送带有这个cookie的请求，记录下你的操作。
广告商根据cookie知道你之前的操作，那么在其他网站向广告商发送带有这个cookie的请求后，就可以精准给你投放广告。

cookie的SameSite属性

就是这个属性限制了第三方cookie，详细，可以看阮一峰老师的博客，我就不搬运了，简单描述下：

Strict：最严格，完全禁止第三方cookie
Lax：默认是这个，链接，预加载请求，GET 表单可以使用第三方cookie
None：可以使用第三方cookie，前提是必须同时设置Secure属性（Cookie 只能通过 HTTPS 协议发送），否则无效。

第三方cookie会被屏蔽，也就是当前域名与cookie的domain不同时，发送HTTP请求时不会带上cookie，就会导致第三方广告平台无法记录用户的操作。但是这就会让我们避免被跟踪了吗？
想得美！！！

其他的广告投放方法

最传统的就是根据内容投放了，就是你这个网站是什么类型，这个网页是什么内容，投放什么的广告。

还有就是使用“浏览器指纹“代替第三方cookie跟踪你。每个人的浏览器看起来只有品牌的区别，实际上你的每项浏览器设置，还有你的硬件信息都决定你是独一无二的。想了解更多，可以看下这

对了，还要提示你，浏览器的隐身模式没有用，你只是待宰的羔羊，具体宰不宰还是看网站决定得。要是不想被跟踪，最好的方法就是禁用js，但这恐怕你也用不了几个网站了。