我完全理解你的痛点——GDPR要求严格，但重构电商系统代价太大。下面给你一套通用的分层解决方案，覆盖服务器自有Cookie和外部第三方Cookie的禁用：

一、先搞定服务器端的Set-Cookie（已有思路的完善） #

你的Nginx/PHP清除Set-Cookie的方向是对的，但要注意场景全覆盖：

1. Nginx层面全局拦截（最省心的方案） #

如果你的网站通过Nginx反向代理或直接托管，可配置全局移除所有Set-Cookie响应头：

• 若安装了ngx_headers_more模块（主流Nginx包基本都带），直接在server或location块添加：

  more_clear_headers "Set-Cookie";
  

• 没有该模块的话，用proxy_hide_header（仅对代理请求有效），或配合判断逻辑实现“未同意则清除”：

  location / {
      # 假设用自定义头或Cookie判断用户同意状态
      if ($http_cookie !~* "cookie_consent=accepted") {
          more_clear_headers "Set-Cookie";
      }
  }
  

2. PHP层面兜底处理 #

如果Nginx配置无法覆盖所有场景（比如部分PHP脚本直接输出Set-Cookie），在PHP入口文件（如index.php）顶部添加代码清空所有Set-Cookie头：

// 判断用户是否未同意Cookie（需自行实现同意状态的存储逻辑，比如临时Cookie或localStorage）
if (!isset($_COOKIE['cookie_consent']) || $_COOKIE['cookie_consent'] !== 'yes') {
    // 移除已设置的Set-Cookie头
    header_remove('Set-Cookie');
    // 拦截后续脚本设置Cookie
    ob_start(function($output) {
        foreach (headers_list() as $header) {
            if (str_starts_with(strtolower($header), 'set-cookie:')) {
                header_remove('Set-Cookie');
            }
        }
        return $output;
    });
}

二、拦截第三方外部网站设置的Cookie（核心难点） #

外部资源（如广告、统计、第三方支付脚本）在浏览器端运行，会直接设置Cookie，需从客户端和中间层双重拦截：

1. 客户端：延迟加载第三方资源（最有效） #

用户未同意前，不加载任何第三方脚本、iframe或资源，等同意后再动态加载：

// 默认不加载第三方资源，点击同意后再初始化
document.getElementById('accept-cookies-btn').addEventListener('click', function() {
    // 存储同意状态（localStorage不属于GDPR定义的Cookie，可用于必要存储）
    localStorage.setItem('cookie_consent', 'accepted');
    
    // 动态加载Google Analytics示例
    const gaScript = document.createElement('script');
    gaScript.src = 'https://www.googletagmanager.com/gtag/js?id=GA_TRACKING_ID';
    gaScript.async = true;
    document.body.appendChild(gaScript);
    
    // 其他第三方资源（广告、支付脚本）同理处理
});

2. 中间层：用Content Security Policy (CSP)限制Cookie #

通过Nginx或PHP设置CSP头，限制第三方资源的Cookie权限：

# 仅当用户未同意时设置CSP
if ($http_cookie !~* "cookie_consent=accepted") {
    add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; frame-src 'none'; cookie-restrict-to 'self';";
}

CSP的cookie-restrict-to指令（主流浏览器支持）可限制仅同源资源能设置Cookie，frame-src 'none'则直接禁止加载第三方iframe，从根源阻止第三方Cookie设置。

3. 客户端兜底：JS拦截Cookie设置 #

重写document.cookie的setter，在用户未同意时阻止非必要Cookie：

if (!localStorage.getItem('cookie_consent')) {
    const originalCookieSetter = Object.getOwnPropertyDescriptor(document, 'cookie').set;
    Object.defineProperty(document, 'cookie', {
        set: function(value) {
            // 允许存储同意状态的Cookie
            if (value.includes('cookie_consent=')) {
                return originalCookieSetter.call(document, value);
            }
            // 其他Cookie一律拦截
            console.log('Blocked non-essential cookie:', value);
            return;
        }
    });
}

注：该方法可拦截大部分客户端脚本设置的Cookie，但无法拦截HTTP-only Cookie（这类Cookie已被服务器端方案处理），部分浏览器可能限制此重写。

三、额外合规细节 #

• 必须显示清晰的Cookie同意弹窗，明确区分必要Cookie（如购物车、登录状态，无需用户同意）和非必要Cookie（统计、广告，需用户主动同意）；
• 同意状态的存储：用localStorage或必要Cookie记录，这属于GDPR允许的“必要处理”。

内容的提问来源于stack exchange，提问作者warch