堆栈追踪识别Cookie来源技巧

本文揭秘了一种巧妙利用 JavaScript 属性拦截与错误堆栈分析的前端技术，无需后端配合或浏览器原生支持，即可在主站中实时捕获并精准定位第三方脚本（如广告、分析 SDK）通过 document.cookie 写入 Cookie 的真实来源域名和脚本路径，为安全审计、GDPR/CCPA 合规检查及跨域行为溯源提供了轻量、高效、开箱即用的可观测性方案——哪怕浏览器刻意隐藏 Cookie 元数据，你也能在控制台一眼看清“谁、在何时、从哪段代码悄悄设置了这个 Cookie”。

本文介绍一种利用 JavaScript 属性拦截与错误堆栈分析的技术，实现在主站（domain A）中精准识别由第三方脚本（domain B）写入 Cookie 的源头域名，适用于安全审计、合规监控与跨域行为分析场景。

本文介绍一种利用 JavaScript 属性拦截与错误堆栈分析的技术，实现在主站（domain A）中精准识别由第三方脚本（domain B）写入 Cookie 的源头域名，适用于安全审计、合规监控与跨域行为分析场景。

在现代 Web 应用中，第三方脚本（如广告、分析、SDK 等）常通过

✅ 示例输出（Chrome）：

[Cookie Origin Monitor] {
  value: "tracking_id=abc123; domain=.domain.a; path=/",
  originScript: "https://domain.b/script.js:42:15",
  timestamp: "2024-06-15T08:22:34.123Z"
}

✅ 示例输出（Firefox）：
Firefox 堆栈格式略有差异，但同样包含脚本 URL：

[Cookie Origin Monitor] {
  value: "session=xyz; expires=...",
  originScript: "https://domain.b/analytics.min.js line 1 > script:127",
  timestamp: "2024-06-15T08:22:34.456Z"
}

⚠️ 重要注意事项：

• 仅监控写入行为，不追溯历史 Cookie：该方法仅捕获 document.cookie = ... 执行瞬间的调用栈，无法回溯页面加载前已存在的 Cookie 来源。
• 无法识别服务端 Set-Cookie 头：若 Cookie 由 domain B 的后端响应头 Set-Cookie 直接下发（如 iframe 加载、fetch 请求），此方案无效——因无 JS 执行上下文。
• 受 CSP 与严格模式影响：若站点启用了 Content-Security-Policy: script-src 'self' 且未允许 'unsafe-eval'，部分堆栈解析可能受限；建议配合 report-uri 收集异常。
• 生产环境慎用：重定义原生属性存在极小兼容风险，建议仅用于开发/审计阶段，或封装为条件加载模块（如 ?debug=cookies）。
• 隐私与合规提示：监控第三方 Cookie 行为需符合 GDPR、CCPA 等法规要求，建议在用户授权前提下启用，并避免记录敏感值（如完整 Cookie 字符串可做脱敏处理）。

? 进阶建议：

• 结合 PerformanceObserver 监听 resource 类型，关联 domain.b/script.js 的加载时机；
• 使用 MutationObserver 配合