一、引言
HTTP协议是非常强大的。不过,它有一个缺陷就是不记忆状态。这意味着,当一次HTTP会话结束后,不管是客户还是服务器,都不记忆刚刚发生的会话。这有可能导致一些麻烦,因为服务器无法知道一些重要的事情,诸如口令、发给客户的纪录等。 HTTP协议提供了一个基本方法可以让客户的机器中保存一些信息,这样,服务器就可以从中知道上一次HTTP会话的的情况,这就是所谓的Cookie。 Cookie实际是一个字符串,它的格式是 CookieName=CookieValue。Cookie中不应该有分号或逗号。客户可以拒绝Cookie,所以任何一个Web应用程序不能认为客户的机器肯定有Cookie。
二、cookie简介
cookie是当你访问某网站时,由该网站保存在你电脑上的一个小文本文件,记录了你的用户ID、密码、浏览的网页、停留的时间等;当你再次访问该网站时,网站通过读取该cookie获取相应信息,做出相应的动作,比如:不用输入用户ID、密码就直接登录等等。
对于XP系统来说,cookie的保存路径为 C:\Documents and Settings\{用户名}\Cookies;
cookie中的内容基本上都是经过加密的(MD5或其他算法),只有所属的网站本身的相应处理程序才能解析它。
浏览器对cookie是有控制的,以Maxthon为例,“Internet选项->隐私->高级”中,可以对“第一方cookie”和“第三方cookie”进行设置,另外就是Internet选项下的“删除cookies”。不过浏览器对cookie的操作还是比较简单的,我们可以通过cookie pal来查到更多的内容。
三、cookie原理
先举个例子,在浏览器地址栏中输入Amazon的URL,浏览器会向Amazon发送一个读取网页的请求,这时该网页在你的电脑上寻找Amazon网站设置的Cookie文件,如果找到,浏览器会把Cookie文件中的数据连同前面输入的URL一同发送到Amazon服务器。服务器收到Cookie数据,就会在他的数据库中检索你的ID,你的购物记录、个人喜好等信息,并记录下新的内容,增加到数据库和Cookie文件中去。如果没有检测到Cookie或者你的Cookie信息与数据库中的信息不符合,则说明你是第一次浏览该网站,服务器的CGI程序将为你创建新的ID信息,并保存到数据库中。
Cookie是利用了网页代码中的HTTP头信息进行传递的,浏览器的每一次网页请求,都可以伴随Cookie传递,例如,浏览器的打开或刷新网页操作。服务器将Cookie添加到网页的HTTP头信息中,伴随网页数据传回到你的浏览器,浏览器会根据你电脑中的Cookie设置选择是否保存这些数据。如果浏览器不允许Cookie保存,则关掉浏览器后,这些数据就消失。
Cookie在电脑上保存的时间是不一样的,这些都是由服务器的设置不同决定得。Cookie有一个Expires(有效期)属性,这个属性决定了Cookie的保存时间,服务器可以通过设定Expires字段的数值,来改变Cookie的保存时间。如果不设置该属性,那么Cookie只在浏览网页期间有效,关闭浏览器,这些Cookie自动消失,绝大多数网站属于这种情况。
通常情况下,Cookie包含Server、Expires、Name、Value这几个字段,其中对服务器有用的只是Name和Value字段,Expires等字段的内容仅仅是为了告诉浏览器如何处理这些Cookies。
四、cookie编程实现
THTTPRequest和THTTPResponse都封装了用来处理Cookie的特性和方法,允许您控制怎样读写Cookie。
要设置Cookie的内容,您可以调用TWebResponse的SetCookieField的方法。这个方法需要传递一个TStrings对象作为Cookie的内容以及这个Cookie的限制条件。
SetCookieField()方法是这样声明的:
procedure SetCookieField(Values:TStrings;const ADomain,APath:string;AExpires:TDateTime;ASecure:Boolean);
Values参数是一个TStrings对象(也可以使用TStringList对象),用于指定Cookie的实际内容。Values中可以包含多个Cookie。
ADomain 参数用于限制服务器的域,Cookie只对特定域的服务器是有效的。如果这个参数为空,Cookie将被传递给任何一个服务器。一般情况下,应当把这个参数设为Web服务器的域名。
APath参数用于指定一组路径,Cookie只在特定的路径下是合法的。
AExpires参数用于指定Cookie在多长时间内是合法的,由于时差的原因,这个时间应当基于GMT时区。如果您想使Cookie的有效时间是10天,就应当把这个参数设为Now+10。如果要使一个Cookie无效,这个参数可以设为过去的一个时间。注意,一个Cookie无效后,就不会被传递给服务器,但并不从客户机中删除。
ASecure参数是一个boolean值,如果这个参数设为True,表示Cookie只能通过HTTP或SSL传递。一般情况,这个参数设为False。 在Web服务器端,您可以通过TWebRequest的CookieFields特性访问由客户传递来的Cookie。这个特性是一个TStrings对象,每个Cookie的格式是param=value。
调用TWebRequest的ExtractCookieFields()方法可以把多个Cookie分解为一个个字符串。
Cookie可以保存任何字符串所能表达的信息。Cookie的长度最多可达4KB,客户的机器最多可以保存300个Cookie.每个服务器或域的Cookie不超过20个。
下面举一个例子说明Cookie的应用:
//创建Cookie
var
CookList : TStringList;
iBZ,fcbz:integer; begin
CookList := TStringList.Create;
try
CookList.Add('NSRID='+ sNSRID);
CookList.Add('NSRMC=' + sNSRMC);
CookList.Add('WJBM=' + sWJBM);
CookList.Add('YHZH=' + sYHZH);
iBZ:=0;
fcbz:=0;
CookList.Add('BZ=' + IntToStr(iBZ));
CookList.Add('FCBZ=' + IntToStr(fcbz));
Response.SetCookieField(cookList,'','',Now+10,False);
finally
cookList.Free;
End;
End
// 使用cookie
iBZ:=StrToInt(Request.CookieFields.Values['BZ']);
五、cookie欺骗
非法获取他人的cookie,然后把别人的Cookie向服务器提交,并且能够通过验证,他们就可以冒充受害人的身份,登陆网站。