首先举例来看一看cookie的用途。
因为HTTP协议是无状态的,即服务器不知道用户上一次做了什么,这严重阻碍了交互式Web应用程序的实现。在典型的网上购物场景中,用户浏览了几个页面,买了一盒饼干和两瓶饮料。最后结帐时,由于HTTP的无状态性,不通过额外的手段,服务器并不知道用户到底买了什么,所以Cookie就是用来绕开HTTP的无状态性的“额外手段”之一。服务器可以设置或读取Cookies中包含信息,借此维护用户跟服务器会话中的状态。
在刚才的购物场景中,当用户选购了第一项商品,服务器在向用户发送网页的同时,还发送了一段Cookie,记录着那项商品的信息。当用户访问另一个页面,浏览器会把Cookie发送给服务器,于是服务器知道他之前选购了什么。用户继续选购饮料,服务器就在原来那段Cookie里追加新的商品信息。结帐时,服务器读取发送来的Cookie就行了。
Cookie另一个典型的应用是当登录一个网站时,网站往往会请求用户输入用户名和密码,并且用户可以勾选“下次自动登录”。如果勾选了,那么下次访问同一网站时,用户会发现没输入用户名和密码就已经登录了。这正是因为前一次登录时,服务器发送了包含登录凭据(用户名加密码的某种加密形式)的Cookie到用户的硬盘上。第二次登录时,如果该Cookie尚未到期,浏览器会发送该Cookie,服务器验证凭据,于是不必输入用户名和密码就让用户登录了。
cookie为持久保存客户端数据提供了方便,分担了服务器存储的负担。具有极高的扩展性和可用性。
- 数据持久性
- 不需要任何服务器资源。Cookie存储在客户端并在发送后有服务器读取。
- 可配置到期规则。控制cookie的生命期,使之不会永远有效。即使被获取也很可能是一个过期的cookie。
- 简单性。基于文本的轻量结构。
- 只在cookie中存放不敏感的数据,即使被盗也不会造成重大损失。
- 通过加密和安全传输技术(SSL),减少cookie被破解的可能性。
除此之外,cookie还是有很多局限性的。
- cookie数量和长度的限制。每个域名下cookie的总数有限。且每个cookie的长度不超过4096字节,否则会被截掉。
- 存在潜在的安全风险。cookie可能会被拦截、篡改。如果cookie被拦截,就有可能获取所有的session信息。即使加密也与事无补,因为拦截者并不需要知道cookie的意义,他只要原样转发cookie就可以达到目的了。
- 有些状态不可能保存在客户端。例如,为了防止重复提交表单,我们需要在服务器端保存一个计数器。如果我们把这个计数器保存在客户端,那么它起不到任何作用。
- cookie在每次发送http请求时,都会被发送到服务器,一些不必要的信息也会被发送过去,增加带宽压力,造成不必要的浪费。
155
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
