清 Cookie 但保留登录态

TL;DR：要在不被信任站点登出的前提下清 Cookie,先在 Manifest V3 Cookie 管理扩展里把那些域名加进白名单,再删其余。CookieVault Guardian 把这件事做成两步点击;Chrome 自带工具则要求你手动逐个保留每个站点。

清 Cookie 但保留登录态是一种选择性删除工作流 —— 清掉追踪和分析 Cookie,同时保留你信任的域名的会话 Cookie。标准的”清空所有 Cookie”是一刀切 —— 网银、邮箱、项目工具全登出。选择性删除在”你想要的 Cookie”（鉴权会话）和”你不想要的 Cookie”（第三方追踪、分析标识、广告网络像素）之间划一条线。Chrome 没有为此提供内置白名单,但一个 Manifest V3 扩展补上了这块¹。

为什么要做选择性删除

简而言之：一次正常的浏览会话能积累几十个第三方域名的 Cookie。全清会把登录态一锅端;不清又让追踪器持续。选择性删除是中间路径 —— 清掉追踪器,留下会话。

爱荷华大学和加州大学戴维斯分校 2024 年对 8 万多个网站的分析发现:中位数站点设置 20 个 Cookie,头部 10% 设置超过 60 个,其中绝大多数来自第三方广告和分析域名²。这种比例意味着”全清”会摧毁远超用户预期的会话状态。

选择性删除可行,是因为鉴权 Cookie 和追踪 Cookie 通常住在不同域名上。你的 Gmail 会话 Cookie 在 accounts.google.com;那个跟着你从鞋类广告一路过来的追踪像素在 doubleclick.net。把 accounts.google.com 加白、把 doubleclick.net 删掉,你就保住了 Gmail 登录,顺手把追踪器清了。

采用选择性删除的几条主要理由:

• 保留邮箱、网银、工作工具的活跃会话
• 移除跨域名跟踪的 Cookie
• 缩小浏览器 Cookie 罐,有时还能改善页面加载性能
• 在不用处处重新登录的情况下达成你的个人隐私标准
• 在信任的电商站点上保留购物车和草稿
• 避免依赖第三方身份提供商的联邦登录被打断

对比:Chrome 上的几种选择性删除方法

简而言之：Chrome 设置可以按站点删,但没有白名单。开发者工具能精确到单条 Cookie,但每个域名都要手动。Manifest V3 扩展是唯一把”白名单 + 批量清理”合在一起的选项。

Chrome 内置的隐私控件是为”全清”场景设计的。正如 Chrome 开发者工具文档所说,Application 面板的 Cookie 视图是为检查和调试,而非例行隐私维护¹。扩展存在的意义就是填补这块工作流空白。

方法一:CookieVault Guardian（推荐）

简而言之：Guardian 的”白名单 + 一键清理”流程,初始设置完后只需两次点击。把你的受保护域名加一次;之后每次清理都自动保留。“关闭标签页时自动清”开启后完全无需动手。

用 CookieVault Guardian 做选择性删除的 8 步:

1. 列出受保护站点 —— 列出会话丢失会很麻烦的所有域名:邮箱、网银、项目管理、云盘、每日使用的社交账号。
2. 在受保护站点上打开 DevTools —— 按 F12 → Application（应用程序） → Cookies,看到具体的 Cookie 名（SID、SSID、PHPSESSID、jsessionid、_session_id）。这一步是为了确认会话 Cookie 究竟住在哪个域名上 —— 有时是子域,有时是联邦身份域名,而非站点主域。
3. 安装 CookieVault Guardian —— 从 Chrome 应用商店安装。Guardian 是 Manifest V3 扩展,通过 chrome.cookies API 拿到 JavaScript 摸不到的 HttpOnly Cookie 的特权访问。
4. 把受保护域名加进白名单 —— 打开 Guardian → 设置 → 白名单。一行一个粘贴,或访问站点时在工具栏弹窗点”加白当前站点”。
5. 检查 Cookie 清单 —— 打开 Guardian 仪表盘。非白名单的广告网络、分析服务商、追踪像素 Cookie 标红;白名单 Cookie 显示盾牌图标。
6. 执行选择性清理 —— 点”立即清理”。Guardian 删掉所有不属于白名单域名的 Cookie。如启用”完整站点数据清理”,非白名单源的 localStorage、IndexedDB、Cache Storage 一并清。
7. 验证受保护会话 —— 在新标签页里逐一打开受保护站点,应仍是登录态。如果某站点意外登出,鉴权依赖了另一个域名,把那个域名也加白。
8. 排定周期性清理 —— 启用”关闭标签页时自动清”或设定时间间隔（每日、每 12 小时）。Cookie 罐不靠手动也保持干净。

方法二:Chrome 设置（手动）

简而言之：Chrome 设置能按站点删 Cookie,但没有白名单。每个受保护域名都要手动找出来跳过。一次性清理还行,规模化不行。

走 Chrome 内置 UI 的手动流程:

1. 打开 Chrome 设置（chrome://settings） → 隐私设置和安全性 → Cookie 和其他网站数据
2. 点”查看所有 Cookie 和网站数据” —— Chrome 给出所有有存储数据的域名的字母序列表
3. 用搜索框找一个追踪域名（例如 doubleclick.net）
4. 点条目旁的垃圾桶 —— Chrome 删除该源的所有 Cookie 和站点数据
5. 对你想清的每个追踪域名重复上一步
6. 不要点”全部移除” —— 那会把受保护会话一并清掉
7. 更快的批量做法是 Ctrl+Shift+Delete → 选”Cookie 和其他网站数据” → 选时间范围 —— 但这在所选范围内仍是一刀切
8. 逐个打开重要站点,验证会话还在

手动方法的主要局限在于:你得知道哪些域名要删、哪些要跳过。多数用户认不出每一个第三方追踪域名 —— 这就是基于白名单的工具更实用的原因。

常见会话 Cookie 名一览

简而言之：多数 Web 框架的会话 Cookie 名都是可预测的。认识它们能帮你确认白名单确实保护了正确的 Cookie。

清理前检查 Cookie 清单时,在你受保护的域名上留意以下常见会话标识:

• SID、SSID、HSID、APISID —— Google 服务（Gmail、YouTube、Drive、Calendar）
• PHPSESSID —— PHP 站点（WordPress、Magento、众多自研应用）
• jsessionid 或 JSESSIONID —— Java 企业应用（Jira、Confluence、Jenkins）
• _session_id —— Ruby on Rails 应用（GitHub、Shopify 后台、Basecamp）
• connect.sid —— Node.js Express 应用
• ASP.NET_SessionId —— .NET 站点（Azure DevOps、众多企业门户）
• csrftoken + sessionid —— Django 应用
• laravel_session —— Laravel（PHP）应用

国内场景的补充:钉钉、企业微信网页端、飞书的会话 Cookie 名各家不同,但都遵循同一模式 —— 进开发者工具看一眼即可确认。

如果站点用了联邦登录（用 Google 登录、用 Apple 登录）,会话 Cookie 可能住在身份提供商的域名上而非站点本身。例如通过 Google 登录某站点需要 accounts.google.com 的 Cookie —— 把站点和身份提供商都加进白名单。

不小心清掉了受保护 Cookie 会怎样

简而言之：丢了一条会话 Cookie 只是登出,不会删账户数据。重新登录就有了新的会话 Cookie。如果你预先导出了 Cookie,可以重新导入恢复会话,免再输密码。

误删会话 Cookie 后会发生的六件事:

• 下一次对该站点的请求不再带会话标识
• 服务器把你当作新的未认证访客
• 你看到登录页或”会话已过期”提示
• 重新登录生成一条新的会话 Cookie —— 你的账户数据、设置、历史在服务器侧完好无损
• 如果应用里有未提交的表单草稿,可能丢失（要看应用用的是 localStorage 还是服务端自动保存）
• 如果”记住此设备”是一条独立 Cookie 且也被你删掉,二次验证可能要再做一次

最稳的做法是批量删除前先导出 Cookie。CookieVault Editor 的 JSON 导出给你一条回退路径 —— 导入文件即可还原会话 Cookie,免再输密码。完整流程见我们的 Cookie 导出为 JSON 指南。

另见

• 如何在 Chrome 中删除 Cookie —— 想全清时的完整删除指南
• 如何在 Chrome 中给 Cookie 加白名单 —— Chrome 设置和扩展的白名单详细配置
• 关闭标签页时自动删除 Cookie —— 选择性删除的自动化版本
• 如何把 Chrome Cookie 导出为 JSON —— 清理前先备份会话
• CookieVault Editor —— 开源 Manifest V3 Cookie 管理器,用于查看、编辑、导出 Cookie
• CookieVault Guardian —— 带白名单支持的自动清理扩展