EditThisCookie 替代品
TL;DR:CookieVault 是开源、原生 Manifest V3 的 EditThisCookie 替代方案。它在所有 Chromium 浏览器和 Firefox 上还原了完整的 Editor 工作流,加入端到端加密同步,附带可复现构建 —— 从 EditThisCookie 迁移过来大约 90 秒。
CookieVault 是一个免费、MIT 开源的 Cookie 管理浏览器扩展,为 2024 年 9 月 28 日从 Chrome 应用商店下架的 EditThisCookie 提供 Manifest V3 原生替代方案。CookieVault 完整还原了开发者和测试工程师依赖多年的”按站点逐条编辑”工作流,加入了跨设备端到端加密同步,并把每一行代码以 MIT 许可证公开在 GitHub。
EditThisCookie 到底发生了什么
简而言之:EditThisCookie 在 Chrome 应用商店上做了将近十年的霸主,鼎盛时期装机量号称达到数百万1。Google 在 2024 年 9 月 28 日将其下架,导火索是社区调查2 发现原作者账号已被转让,新所有者在转让后的更新中加入了不受欢迎的商业化行为。GitHub 上的原始仓库3 仍然可见、仍然挂着 MIT 许可证,但商店上架页已经永久消失。
EditThisCookie 跑在 Manifest V2 上 —— Chrome 自 2019 年起就开始有序退役的老一代扩展 API4。即使它没有遇到账号转让事件,也活不过 Manifest V3 迁移:从 2024 年 6 月起,Chrome 在稳定版上开始禁用所有 MV2 扩展,没有为没有重写过的扩展提供升级路径4。任何还在依赖已废弃的 chrome.extension.getBackgroundPage API、长驻 background page、或阻塞型 webRequest 拦截的扩展,到 2025 年都会停止工作。
原作者 Francesco Capano 已经公开声明2:在恶意更新出现之前他就把扩展卖给了第三方,多年来已经不再参与开发。我们不打算把下架的责任算到他头上 —— 只是想指出一件事实:浏览器扩展的”开发者账号转让”是一种公认的供应链风险,EditThisCookie 的故事是教科书级别的案例。这种风险在中文开发者圈也曾多次发生(包括早期的部分国产浏览器扩展商业化转手事件)。
为什么现在必须迁移
简而言之:2025 年有三股力量同时压在 EditThisCookie 用户身上 —— 商店上架页消失(没有任何更新路径)、本机老二进制依赖 Chrome 即将永久禁用的 Manifest V2、以及暗地里流传的”复活版”分支来源不明,不应该用来管理凭证。
三件事在 2025 年同时压向 EditThisCookie 用户:
- Chrome 应用商店上架页消失。新用户无法安装、老用户也收不到任何更新 —— 包括安全补丁。上架页就是没了5。
- Chrome 稳定版废弃 Manifest V2。Chrome 官方文档4 给出了时间线:2024 年 6 月起,MV2 扩展在稳定版被禁用;2025 年 1 月之后这个禁用不可逆。企业策略短暂延期到 2025 年中,但策略本身也即将下线。
- 来源不明的”复活版”在外流传。在 GitHub、镜像站、搜索结果首屏,出现了一批 “EditThisCookie revival” 扩展和独立 CRX 文件。没有任何一个公开了构建溯源信息。从来历不明的发布者那里安装一个有
chrome.cookies权限的扩展,就是把凭证拱手送出去的路径。
保守的选择是:在 Chrome 下一次更新打破你本机这份拷贝之前,迁移到一个有清晰所有权链、可审计源码、原生 Manifest V3 的替代品。
选替代品时该看什么
一个值得信任的 EditThisCookie 替代品至少应该过下面 6 条审核。CookieVault 全部满足;我们把清单列在这里,你可以拿同一把尺子量任何替代品 —— 包括我们:
- 源码公开。MIT、Apache 2.0、BSD 等 OSI 认可的许可证 —— 让独立审计能看清 Cookie 处理边界。
- 原生 Manifest V3。基于当前的 Chrome 扩展 API 重写,而不是包了一层壳的 MV2 代码。打开
manifest.json看"manifest_version": 3就能验证。 - 维护者真实身份公开。真名、真 LinkedIn / GitHub、明确的公司或组织实体。匿名发布者应该亮黄灯。
- Chrome 应用商店构建可复现。商店上的二进制应该与某个 git tag 字节完全一致 —— 这能堵死”源码看起来 OK 但二进制偷偷做了别的事”的攻击面。
- 不嵌入分析 SDK。一个 Cookie 管理扩展,自己却装了 Google Analytics、Mixpanel 或任何第三方遥测,意味着它的威胁模型从根本上反过来了。
- 商业模式透明。要么有付费 Pro 版(CookieVault 模式)、要么靠捐赠 / 基金会 / 赞助方维持。“免费且没有任何明显收入”恰恰是那类几年后被卖给恶意所有者的项目。
CookieVault 与其他 EditThisCookie 替代品对比
目前能算得上替代品的,主要是 CookieVault、Cookie-Editor,以及一批下架后冒出来的”复活版”分支。横向对比:
| 评估项 | CookieVault Editor | Cookie-Editor | EditThisCookie 复活版分支 |
|---|---|---|---|
| 许可证 | MIT(开源) | 闭源 | 混杂;部分未声明 |
| Manifest 版本 | V3 | V3 | 多为 V2(已废弃) |
| Chrome 商店构建可复现 | 是 | 否 | 没有公开记录 |
| 端到端加密云同步 | 是(Pro) | 否 | 否 |
| 多账号档案 | 是 | 否 | 否 |
| Cookie 历史 / 撤销 | 是(Pro) | 否 | 否 |
| 维护者真实身份公开 | 是 | 是 | 多为匿名 |
| 嵌入遥测 SDK | 无 | 无 | 部分有6 |
| 当前是否在维护 | 是 | 是 | 视分支而定 |
| Firefox 构建 | 是 | 是 | 部分有 |
诚实总结:Cookie-Editor 是一个合理的选择 —— 如果你只在乎弹窗式 UX、不在意源码透明或同步功能。CookieVault 的优势在于可审计性和”EditThisCookie 从未提供过的端到端加密同步”。无维护或匿名的复活版分支不属于同一类别,它们是凭证盗取风险,任何便利性都不足以抵消。
从 EditThisCookie 迁移到 CookieVault 的完整步骤
迁移在顺利情况下大约 90 秒完成。完整有序的清单:
- 导出现有 Cookie 数据。在 EditThisCookie 还在本机运行的前提下,点击工具栏图标,打开菜单选 “Export → JSON”,保存到你能找到的位置。
- 卸载 EditThisCookie。打开
chrome://extensions,找到 EditThisCookie 点击移除。Chrome 应用商店上的原始扩展已经下架,重装也无路可走。 - 安装 CookieVault Editor。Chrome 应用商店搜索 “CookieVault Editor” 添加。Edge 加载项、Firefox 附加组件也有同一份构建;Opera / Vivaldi / Arc / Brave 走 GitHub release 页 .crx 侧载。国内用户访问 Chrome 应用商店受限时可优先 Edge 加载项或 GitHub。
- 打开 Editor 导入 JSON。点新出现的 CookieVault 工具栏图标 → 设置(齿轮)→ “Import → EditThisCookie JSON”,选第 1 步导出的文件。
- 校验 Cookie 列表是否正确填充。切回 Editor 主面板,访问任何你之前有登录态的网站。Cookie 应该出现在列表里,域名、值、过期时间均应正确。
- 测试已知的登录态。打开任意依赖刚导入 Cookie 的网站。登录态应该有效;如果失效,可能是该 Cookie 在导入前就已过期。
- 启用端到端加密同步(可选)。设置 → 同步 → 注册账号 → 设置密码短语。密码短语在客户端派生密钥 —— 服务器永远看不到你的 Cookie 明文。
- 安全删除导出的 JSON 文件。验证无误之后,安全删除磁盘上的 JSON 导出文件。明文 Cookie 留在硬盘上 = 凭证泄漏风险,文件存在一天风险就存在一天。
如果第 4 步导入失败提示”不支持的格式”,JSON 可能来自 EditThisCookie 2.0 之前的版本。在 CookieVault GitHub 仓库提 issue 把文件附上(先把 Cookie 值脱敏),我们会加兼容垫片。
常见问题
问:为什么 EditThisCookie 从 Chrome 应用商店下架了? Google 在 2024 年 9 月 28 日下架。原因是社区报告显示原作者账号被转让,新所有者推送了带有激进商业化行为的更新。GitHub 上的原始开源代码仍在,商店上架页没了。
问:本机已经装的旧版还能继续用吗? 不建议。即使是被转让前的可信版本,它依赖的 Manifest V2 API 也在被 Chrome 强制下线。一旦完全禁用,你的数据就会被锁死在一个不再运行的扩展里。
问:CookieVault 能完整导入 EditThisCookie 的 JSON 吗? 可以。name、value、domain、path、expires、httpOnly、secure、sameSite、storeId 全部字段均通过 chrome.cookies.set 原样写入。
问:CookieVault 和 EditThisCookie 一样是开源的吗? 是,MIT 许可证开源在 GitHub,可复现构建,提交历史公开。
问:支持 Edge / Brave / Opera / Vivaldi / Arc / Firefox 吗? 全部支持。Chromium 系浏览器用同一份 Chrome 应用商店构建,Firefox 用独立的 MV3 兼容构建。
问:收费吗? 本地 Cookie 管理永久免费。Pro 版(4 美元/月,36 美元/年)解锁端到端加密同步、Cookie 历史与撤销、命名档案、团队共享。
问:端到端加密同步和普通云同步有什么区别? 加密密钥在你的设备由你独占的密码短语派生,密钥从不以明文离开设备;同步服务器只持有不可读密文。普通云同步则是供应商持有密钥。
问:我没导出 JSON,扩展已经卸载了,还有救吗? 用 Chrome 开发者工具(F12 → Application → Cookies)逐条复制到 CookieVault 的”添加 Cookie”对话框。条目多时繁琐,但只要浏览器 Profile 还在没有不可恢复的数据。
Footnotes
-
EditThisCookie 的装机量曾经公开显示在 Chrome 应用商店上架页。具体数字在不同时间快照里有差异;常被引用的”300 万用户”来自 Web Archive 在 2023–2024 年间对上架页的捕获快照。我们没有独立验证峰值数字,把它当作约数对待。 ↩
-
关于账号转让和后续商业化更新的报告于 2024 年 9 月在开发者社区被广泛讨论。原作者 Francesco Capano 在他的个人渠道公开回应了此事。中文开发者社区(如 V2EX、InfoQ、掘金)也有相关讨论。 ↩ ↩2
-
GitHub 上仍能搜到若干社区归档的 EditThisCookie 源码分支,全部沿用原 MIT 许可证;但下架之后没有任何分支拥有权威继任地位,我们刻意不在此列出具体仓库地址 —— 列出等同于背书。源码可见并不意味着该分支的构建版本安全 —— 见上文”复活版分支”一节。 ↩
-
Chrome 关于 Manifest V3 迁移的官方时间线发布在 developer.chrome.com/docs/extensions/develop/migrate,稳定版禁用时间线在 developer.chrome.com/blog/resuming-the-transition-to-mv3。企业扩展策略时间线在 developer.chrome.com/docs/extensions/develop/migrate/improve-security。国内访问这些文档可能受限。 ↩ ↩2 ↩3
-
直接验证方法:在 Chrome 应用商店搜索 “edit this cookie”,原始 listing ID 在 2024 年第 4 季度起返回 “The item you have requested is not available”。 ↩
-
各个下架后分支的具体遥测行为已被安全社区零散审计过。我们不在此列出具体分支链接 —— 列出等于背书。如果你必须用其中一个,请审计
manifest.json中的权限声明,并在源码树里搜索 analytics 端点之后再安装。 ↩