三方 Cookie

在用浏览器访问网页时，目标站点（即浏览器地址栏中的站点）为第一方，用户为第二方，其它均为第三方。如果你正在访问 a.com，此时该页面发送了一个 b.com/api/xxx 的请求，该请求会带上 b.com 域名下的cookie，这些cookie就被称为三方cookie（third-party cookies），简称3PC。

Chrome禁用三方 Cookie

2023年的时候Google发布了Chrome将禁用三方Cookie的公告，主要是出于保护用户隐私的考虑，在2024年Chrome将逐渐禁用三方cookie。三方cookie被使用得非常广泛，它经常被用在以下场景：

• 统一登录（SSO）
• 个性化广告
• 防范欺诈和反垃圾
• 前端监控上报（埋点上报、广告曝光、转化上报等）

禁用三方cookie并不意味着以上场景功能瘫痪，而是没法通过cookie识别用户身份等个人信息了，比如埋点上报只能知道有一个上报，却不知道是哪个用户上报的。

各种场景的解决方案Google的文章里已经写了，不是本文讨论的内容。 本文只想讨论一个场景：个性化广告。

个性化广告

多数场景的三方cookie都是用来在一个组织所属的多个站点之间识别用户身份的，毕竟一家公司有多个站点是很常见的事情，但唯独个性化广告的与其它场景不一样，它本身就是跨组织的。早期互联网对用户隐私比较轻视，这些年各巨头都在想办法堵上这个漏洞。

三方cooki在个性化广告应用的原理

你一定遇到过这样的情况：我刚在淘宝搜索过某件商品，打开QQ空间，它的广告立马就给我推荐了该商品，难道是淘宝偷偷把我的搜索数据给了腾讯？其实不用那么麻烦，用三方cookie就可以实现。

当我在淘宝搜索某件商品时，淘宝会在 mmstat.com 下种下一个cookie，该cookie可以关联我的足迹，包括搜索记录，并将该cookie的SameSite设为None，这样就可以在跨站请求上带上。mmstat.com 是阿里巴巴的广告营销平台下的一个站点。

这时我打开QQ空间，QQ空间上有一个广告位，QQ在获取各广告商报价前，会按照广告商的要求请求对应的站点，其中有一个广告商就是阿里巴巴，因此QQ会向 mmstat.com 发送一个请求，该请求就会带上之前种下的cookie，这样阿里巴巴就知道有个在看QQ空间的人，之前在淘宝搜索过某商品。而主动搜索在推荐和报价中是个权重很高的行为，因此阿里巴巴对该广告位会出高价，所以最后大概率是阿里巴巴中标，并且它给出的广告就是我搜过的商品。腾讯在完全不需要知道我搜索数据的前提下就拉到了出价最高的广告。

Google给出的个性化广告场景方案

Google在Privacy Sandbox中有一个Topics API，其原理是用户在用Chrome浏览网页的时候，通过机器学习推断出该网站的“主题”，随着用户浏览量的增加，就可以统计出用户的“兴趣”主题，广告商可以请求Topics API获取用户的兴趣主题。这样广告商不能获取用户的足迹等隐私数据，但依旧可以根据用户的兴趣定制个性化广告。

真的解决了隐私安全问题吗

看起来Privacy Sandbox的方案挺完美的，但接下来我要开始骂了。（燕国地图这么长，感谢看到这里）

首先，跟之前的FLoC一样，“用户追踪”行为并没有消失，只是从三方站点转移到了Chrome，如果三方站点没有这个权力获取用户隐私，那么Chome为什么就有这个权力？就好比以前土匪恶霸都有枪，现在Chrome把土匪们的枪都收走了，可它自己腰间还别着枪，用户们能不能安心还是得看Chrome脸色。看起来Chrome给自己的定位并不是用户软件，而是操作系统。

另一方面，从广告商的角度来说，Topics API提供的帮助比起三方cookie不知道差多少。如果是别家公司你还可以说它是站在用户这边，但我们都知道Google早年因没有变现手段濒临破产的时候，是个性化广告让它活下来并做大，战胜了雅虎等一票对手。禁用三方cookie，你可以说是Google上车后把车门焊死，也可以说是社会进步没有人可以阻挡。如果25年前IE禁用了三方cookie,不知道现在Google这家公司是否还存在。

要么就完全禁止跨组织用户数据传递，Chrome自己也不要存，要么就敞开了赚钱，又当又立挺难看的。