新版谷歌浏览器如何彻底禁用第三方Cookie?
功能定位:从“可选屏蔽”到“默认淘汰”
2026年1月发布的Chrome 128将Privacy Sandbox推进到GA阶段,三方Cookie被100%标记为“Legacy”,浏览器首次在稳定版默认阻断跨站写入。对开发者而言,这意味着以往通过document.cookie或Set-Cookie: SameSite=None植入的追踪像素、广告归因、嵌入式支付态等将全部失效;对终端用户,则直接减少跨站画像,但也可能遇到“登录态丢失”“购物车被清空”等副作用。
与旧版“Block third-party cookies”开关不同,128版把控制粒度拆成三项:1.Ad Topics(兴趣主题)、2.Site-suggested ads(再营销)、3.Third-party storage(含Cookie、localStorage、IndexedDB)。只要其中任意一项被关闭,第三方Cookie即无法写入。理解这一拆分,是后续“彻底禁用”与“局部豁免”的前提。经验性观察:多数普通用户只关注“广告开关”,却忽略第三项才是真正的“存储闸门”,因此建议三步全部关闭,才能彻底屏蔽。
版本演进:Chrome 116→128的迁移节点
116-119:提示阶段
仅对1%稳定用户开启“Tracking Protection”小盾牌图标,无强制阻断,开发者可在DevTools Issues面板看到黄色警告。此时仍可无视提示继续写入,谷歌仅收集兼容性遥测。
120-125:分区阶段
引入“CHIPS”独立分区Cookie,允许开发者在不跨站的前提下保留嵌入式小工具(如聊天挂件)状态,用户侧无感知。该阶段是改造的黄金窗口,建议在此区间完成Partitioned属性补全。
126-127:灰度强制
谷歌分批次把100%三方Cookie写入标红,并在地址栏右侧显示“已阻止”气泡,但仍可通过chrome://flags/#test-third-party-cookie-phaseout回退。灰度节奏按“1%→10%→50%”递增,若业务在126已出现登录态丢失,说明已进灰度列表。
128以后:正式淘汰
标志被移除,回退通道仅剩Enterprise Policy或命令行参数,普通UI不再提供“重新启用”入口。自此,第三方Cookie与Flash一样成为“Legacy功能”。
操作路径:桌面端最短三步
以下步骤基于Windows 11 x64 & macOS 14平台Chrome 128.0.6613.85,其他通道(Beta/Dev)可能缺少UI。
- 地址栏输入chrome://settings/privacy回车,进入“隐私设置”主标签页。
- 滚动至“Ad privacy”区块,依次点入Topics、Site-suggested ads、Ad measurement,把三枚开关全部关闭(灰色)。
- 回到上级页,再进入“第三方存储”小节,确认“阻止第三方Cookie”已置为“全部阻止”(非“仅隐身”)。
完成以上动作后,可在DevTools → Application → Cookies面板验证:任意跨站iframe写入Set-Cookie时,Size列显示(Blocked),且Value自动变空。若只关闭广告开关而保留“第三方存储”为“仅隐身”,在普通窗口仍会被写入,验证时务必确认“全部阻止”状态。
Android与iOS差异
Android(Chrome 128.0.6613.85)
- 入口:⋮菜单 → 设置 → 隐私与安全 → 第三方Cookie,直接勾选“全部阻止”。
- Ad privacy三项开关位于同一页下方,建议一并关闭,否则Topics API仍可在后台计算兴趣。
Android版UI把广告与存储合并在同一屏,切换效率高于桌面端;但部分国产ROM把“第三方Cookie”入口折叠到“高级”子页,若找不到可在设置内搜索“Cookie”关键字直达。
iOS(Chrome 128,需iOS 16+)
- 因受WKWebView限制,iOS版把“第三方Cookie”与“跨站跟踪”合并为“防止跨站跟踪”单开关,路径:⋯ → Settings → Privacy → 开启Prevent Cross-Site Tracking。
- 开启后,Cookie、localStorage、IndexedDB均被WKWebView自动分区,等同于桌面端“全部阻止”效果。
值得注意的是,iOS版Chrome无法像桌面端那样通过flags细调,若业务必须放行,只能切到Safari并关闭“防止跨站跟踪”,但Safari同样将在17.4默认启用该选项,因此iOS端基本无可持续回退方案。
企业环境:策略模板与批量回退
若组织内部仍依赖老旧SSO、内嵌HR系统,可通过Group Policy或JSON策略统一放宽。
将上述字段写入Cloud Policy或HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome,重启后即可恢复跨站写入。注意该回退方案仅适用于托管设备,个人版Chrome无法手动添加。经验性观察:若组织已启用Zero Trust,则策略下发约5分钟生效,用户侧无需重启,但需确保设备已加入Windows域或已登记Chrome Browser Cloud Management。
命令行应急:开发调试场景
前端本地联调第三方登录时,可临时用启动参数屏蔽阻断:
经验性观察:参数仅在当前进程生效,退出即失效;若同时登录了Google账号,云端同步不会记录该例外,避免“无意间放宽”风险。调试结束后务必关闭该窗口,防止后续测试数据污染。
豁免清单:何时允许第三方Cookie
Chrome 128仍保留两类官方豁免,无需回退策略:
- CHIPS分区键:开发者给Cookie附加Partitioned属性,Cookie被绑定到顶级站点+1级,跨站可读但不可跨顶级站点互通,适用于在线客服、嵌入式地图。
- Storage Access API:用户在前端通过点击、输入等手势触发,可弹框向嵌入域授权30天;适用于银行嵌入式支付、SaaS“用Google账号登录”。
若业务方无法改造,应评估迁移至Related Website Sets(原First-Party Sets),但需向谷歌提交资质审核,且限定为“品牌关联域”,一般广告联盟无法通过。示例:某高校将主站、教务系统、图书馆域名打包为RWS,两周内通过审核,无需额外代码即可共享登录态。
常见副作用与缓解
| 症状 | 可能原因 | 快速验证 | 缓解方案 |
|---|---|---|---|
| 内嵌论坛无法记住登录 | 第三方Cookie被阻断 | DevTools→Network→Response无Set-Cookie | 让厂商支持CHIPS或SAA |
| 广告重复投放 | 归因缺失,无法频次控制 | Topics API返回空数组 | 改用Protected Audience on-device竞价 |
| 企业后台提示TLS过低 | Post-Quantum TLS与旧F5不兼容 | chrome://flags/#use-post-quantum-tls→Disabled后恢复 | 联系厂商升级固件或临时禁用 |
出现副作用时,优先在DevTools的Issues面板查看“Cookie”类提示,Chrome会给出具体属性缺失(如缺Partitioned、缺Secure),按提示修复比盲目放行更高效。
验证与观测方法
1. 打开测试站点https://www.cookiestatus.com,若显示“Third-party cookies are blocked ✓”即表示写入失败。
2. DevTools → Console执行document.cookie='test=1;domain=.github.io',刷新后若Application面板未出现对应条目,则阻断生效。
3. 在chrome://histograms/中检索Cookie.Block,样本值>0表示已拦截。
4. 若需持续监控,可在CI中集成CookieStatus CLI,失败即阻断流水线,防止带问题上线。
不适用场景清单
- 内网旧版Oracle EBS、SAP GUI for HTML,依赖跨站Cookie保持会话,禁用后每5分钟跳登录。
- 在线考试系统采用嵌套域名(exam.edu.cn + cdn.edu.cn)验证考生身份,未改造CHIPS前勿强制封锁。
- 医疗影像云PACS使用第三方认证中心,若阻断会导致DICOM切片加载中断,影响诊断。
经验性观察:以上场景若短期内无法完成代码改造,应优先申请Related Website Sets或启用企业策略豁免,而非要求终端用户手动放宽。
最佳实践速查表
- 先关闭Ad privacy三项,再切“阻止第三方Cookie”,避免Topics API继续计算兴趣。
- 调试时单独开一个–user-data-dir,用命令行参数临时放行,防止污染主配置。
- 上线前在Lighthouse 12“Best Practices”跑分,若出现
legacy-cookie警告即需改造。 - 监控后台报错关键字
CookieNotSent,出现频率>1%即触发改造工单。 - 对嵌入式登录优先使用Storage Access API+手势触发,避免用户频繁输入密码。
把上述五项加入上线Checklist,可显著降低回滚率。示例:某电商平台在发版前执行清单第3条,发现遗留广告像素未加Partitioned,提前修复后,灰度期间零客诉。
常见问题
关闭第三方Cookie后,为什么部分网站仍显示广告追踪?
Topics API可在本地计算兴趣,不依赖写入Cookie。若仅关闭“第三方存储”而保留Ad privacy开关,广告系统仍能通过Topics读取兴趣主题。彻底禁用需把Ad privacy三项全部关闭。
命令行参数在129版还能用吗?
根据Chromium Commit,129将移除ThirdPartyCookieBlocking的disable参数,个人版唯一回退通道消失;企业仍可通过策略模板关闭。
CHIPS与Related Website Sets哪个更适合内网系统?
CHIPS无需审核,代码改造量小,适合单点嵌入场景;RWS需提交品牌关联证明,审核周期2-4周,适合拥有多个自有域的大型内网门户。若域名主体不一致,优先选CHIPS。
未来趋势:129版可能的变化
根据Chromium Commit日志,129将移除--disable-features=ThirdPartyCookieBlocking参数,仅保留企业策略与Storage Access API两条路;同时Topics API计划升级到v3,把周期从7天缩短到3天,兴趣粒度由469降至248,进一步降低跨站关联度。
对于普通用户,这意味着“彻底禁用”将无需额外操作;对于开发者,则需在Q2前完成CHIPS或Related Website Sets改造,否则跨站业务将在129全面失效。
总结
Chrome 128已把第三方Cookie默认推向终点,个人用户只需在“Ad privacy”与“第三方存储”两处关闭即可彻底禁用;企业或调试场景仍可通过策略模板或命令行回退,但窗口正在收窄。提前验证CHIPS、Storage Access API与Related Website Sets,是避免业务中断的唯一可持续路径。
📺 相关视频教程
直击痛点!广告拦截、IDM下载神器、烦人弹窗、Chrome老版本下载及禁用自动更新!2025| 零度解说
