Cookie
Cookie 是在 HTTP 協(xié)議下,服務(wù)器或腳本可以維護(hù)客戶(hù)工作站上信息的一種方式。
Cookie 是由 Web 服務(wù)器保存在用戶(hù)瀏覽器(客戶(hù)端)上的小文本文件,它可以包含有關(guān)用戶(hù)的信息。無(wú)論何時(shí)用戶(hù)鏈接到服務(wù)器,Web 站點(diǎn)都可以訪問(wèn) Cookie 信息 。
目前有些 Cookie 是臨時(shí)的,有些則是持續(xù)的。臨時(shí)的 Cookie 只在瀏覽器上保存一段規(guī)定的時(shí)間,一旦超過(guò)規(guī)定的時(shí)間,該 Cookie 就會(huì)被系統(tǒng)清除 。
持續(xù)的 Cookie 則保存在用戶(hù)的 Cookie 文件中,下一次用戶(hù)返回時(shí),仍然可以對(duì)它進(jìn)行調(diào)用。在 Cookie 文件中保存 Cookie,有些用戶(hù)擔(dān)心 Cookie 中的用戶(hù)信息被一些別有用心的人竊取,而造成一定的損害。其實(shí),網(wǎng)站以外的用戶(hù)無(wú)法跨過(guò)網(wǎng)站來(lái)獲得 Cookie 信息。如果因?yàn)檫@種擔(dān)心而屏蔽 Cookie,肯定會(huì)因此拒絕訪問(wèn)許多站點(diǎn)頁(yè)面。因?yàn)椋?dāng)今有許多 Web 站點(diǎn)開(kāi)發(fā)人員使用 Cookie 技術(shù),例如 Session 對(duì)象的使用就離不開(kāi) Cookie 的支持
存儲(chǔ)
cookie存儲(chǔ)在用戶(hù)端(通常是瀏覽器端),可通過(guò)JavaScript腳本,服務(wù)端response頭進(jìn)行設(shè)置/修改/刪除操作
一個(gè)cookie,存在以下信息:
name 一個(gè)唯一確定的cookie名稱(chēng),通常來(lái)講cookie的名稱(chēng)是不區(qū)分大小寫(xiě)的。
value 存儲(chǔ)在cookie中的字符串值。
domain cookie對(duì)于哪個(gè)域是有效的。所有向該域發(fā)送的請(qǐng)求中都會(huì)包含這個(gè)cookie信息。這個(gè)值可以包含子域(如:
yq.aliyun.com),也可以不包含它(如:.aliyun.com,則對(duì)于aliyun.com的所有子域都有效).
path 表示這個(gè)cookie影響到的路徑,瀏覽器跟會(huì)根據(jù)這項(xiàng)配置,像指定域中匹配的路徑發(fā)送cookie。
expires 失效時(shí)間,表示cookie何時(shí)應(yīng)該被刪除的時(shí)間戳(也就是,何時(shí)應(yīng)該停止向服務(wù)器發(fā)送這個(gè)cookie)。如果不設(shè)置這個(gè)時(shí)間戳,瀏覽器會(huì)在頁(yè)面關(guān)閉時(shí)即將刪除所有cookie;不過(guò)也可以自己設(shè)置刪除時(shí)間。這個(gè)值是GMT時(shí)間格式,如果客戶(hù)端和服務(wù)器端時(shí)間不一致,使用expires就會(huì)存在偏差。
max-age 與expires作用相同,用來(lái)告訴瀏覽器此cookie多久過(guò)期(單位是秒),而不是一個(gè)固定的時(shí)間點(diǎn)。正常情況下,max-age的優(yōu)先級(jí)高于expires。
HttpOnly 告知瀏覽器不允許通過(guò)腳本document.cookie去更改這個(gè)值,同樣這個(gè)值在document.cookie中也不可見(jiàn)。但在http請(qǐng)求張仍然會(huì)攜帶這個(gè)cookie。注意這個(gè)值雖然在腳本中不可獲取,但仍然在瀏覽器安裝目錄中以文件形式存在。這項(xiàng)設(shè)置通常在服務(wù)器端設(shè)置。
secure 安全標(biāo)志,指定后,只有在使用SSL鏈接時(shí)候才能發(fā)送到服務(wù)器,如果是http鏈接則不會(huì)傳遞該信息。就算設(shè)置了secure 屬性也并不代表他人不能看到你機(jī)器本地保存的 cookie 信息,所以不要把重要信息放cookie就對(duì)了服務(wù)器端設(shè)置cookie不僅僅只作為session會(huì)話,也可存儲(chǔ)一些不重要的會(huì)員個(gè)性化設(shè)置,例如:
- 用戶(hù)A通過(guò)設(shè)置cookie type:red
- 用戶(hù)A請(qǐng)求服務(wù)端,想獲取一個(gè)頁(yè)面
- 服務(wù)端接收到請(qǐng)求,并解析到type:red,給用戶(hù)A返回一個(gè)紅色風(fēng)格的首頁(yè)
安全
服務(wù)端安全
首先,cookie是存儲(chǔ)在用戶(hù)端的,可以被用戶(hù)修改,所以服務(wù)端不能直接通過(guò)一個(gè)cookie來(lái)確定用戶(hù)身份,需要用一定的方式加密或者對(duì)等存儲(chǔ)(cookie作為憑證,在服務(wù)端記錄對(duì)應(yīng)數(shù)據(jù)),服務(wù)端session就是使用這種方法存儲(chǔ)的
用戶(hù)端安全
在通常情況下,用戶(hù)端的cookie安全的,網(wǎng)站以外的用戶(hù)無(wú)法跨過(guò)網(wǎng)站來(lái)獲取用戶(hù)的cookie信息,但是有心之人可能會(huì)通過(guò)ajax方法,讓用戶(hù)訪問(wèn)A網(wǎng)站,卻使用B網(wǎng)站的腳本進(jìn)行敏感操作.(詳細(xì)內(nèi)容可自行搜索"跨站點(diǎn)腳本攻擊")
phper中的cookie
在php web網(wǎng)站中,用戶(hù)端cookie是必不可少的,沒(méi)有cookie就無(wú)法啟用session會(huì)話,無(wú)法識(shí)別用戶(hù)身份,php中的session_start()函數(shù)就是向用戶(hù)端設(shè)置一個(gè)cookie值用于session會(huì)話.