cookie入门

一、引言

HTTP协议是非常强大的。不过，它有一个缺陷就是不记忆状态。这意味着,当一次HTTP会话结束后，不管是客户还是服务器，都不记忆刚刚发生的会话。这有可能导致一些麻烦，因为服务器无法知道一些重要的事情，诸如口令、发给客户的纪录等。    HTTP协议提供了一个基本方法可以让客户的机器中保存一些信息，这样，服务器就可以从中知道上一次HTTP会话的的情况，这就是所谓的Cookie。    Cookie实际是一个字符串，它的格式是 CookieName=CookieValue。Cookie中不应该有分号或逗号。客户可以拒绝Cookie，所以任何一个Web应用程序不能认为客户的机器肯定有Cookie。

 

二、cookie简介

cookie是当你访问某网站时，由该网站保存在你电脑上的一个小文本文件，记录了你的用户ID、密码、浏览的网页、停留的时间等；当你再次访问该网站时，网站通过读取该cookie获取相应信息，做出相应的动作，比如：不用输入用户ID、密码就直接登录等等。

对于XP系统来说，cookie的保存路径为 C:\Documents and Settings\{用户名}\Cookies；

cookie中的内容基本上都是经过加密的（MD5或其他算法），只有所属的网站本身的相应处理程序才能解析它。

浏览器对cookie是有控制的，以Maxthon为例，“Internet选项->隐私->高级”中，可以对“第一方cookie”和“第三方cookie”进行设置，另外就是Internet选项下的“删除cookies”。不过浏览器对cookie的操作还是比较简单的，我们可以通过cookie pal来查到更多的内容。

 

三、cookie原理

先举个例子，在浏览器地址栏中输入Amazon的URL，浏览器会向Amazon发送一个读取网页的请求，这时该网页在你的电脑上寻找Amazon网站设置的Cookie文件，如果找到，浏览器会把Cookie文件中的数据连同前面输入的URL一同发送到Amazon服务器。服务器收到Cookie数据，就会在他的数据库中检索你的ID，你的购物记录、个人喜好等信息，并记录下新的内容，增加到数据库和Cookie文件中去。如果没有检测到Cookie或者你的Cookie信息与数据库中的信息不符合，则说明你是第一次浏览该网站，服务器的CGI程序将为你创建新的ID信息，并保存到数据库中。

Cookie是利用了网页代码中的HTTP头信息进行传递的，浏览器的每一次网页请求，都可以伴随Cookie传递，例如，浏览器的打开或刷新网页操作。服务器将Cookie添加到网页的HTTP头信息中，伴随网页数据传回到你的浏览器，浏览器会根据你电脑中的Cookie设置选择是否保存这些数据。如果浏览器不允许Cookie保存，则关掉浏览器后，这些数据就消失。

Cookie在电脑上保存的时间是不一样的，这些都是由服务器的设置不同决定得。Cookie有一个Expires（有效期）属性，这个属性决定了Cookie的保存时间，服务器可以通过设定Expires字段的数值，来改变Cookie的保存时间。如果不设置该属性，那么Cookie只在浏览网页期间有效，关闭浏览器，这些Cookie自动消失，绝大多数网站属于这种情况。

通常情况下，Cookie包含Server、Expires、Name、Value这几个字段，其中对服务器有用的只是Name和Value字段，Expires等字段的内容仅仅是为了告诉浏览器如何处理这些Cookies。

 

四、cookie编程实现

THTTPRequest和THTTPResponse都封装了用来处理Cookie的特性和方法，允许您控制怎样读写Cookie。

要设置Cookie的内容，您可以调用TWebResponse的SetCookieField的方法。这个方法需要传递一个TStrings对象作为Cookie的内容以及这个Cookie的限制条件。

SetCookieField()方法是这样声明的：   

procedure SetCookieField(Values:TStrings;const ADomain,APath:string;AExpires:TDateTime;ASecure:Boolean);

Values参数是一个TStrings对象(也可以使用TStringList对象),用于指定Cookie的实际内容。Values中可以包含多个Cookie。

ADomain 参数用于限制服务器的域，Cookie只对特定域的服务器是有效的。如果这个参数为空，Cookie将被传递给任何一个服务器。一般情况下，应当把这个参数设为Web服务器的域名。

APath参数用于指定一组路径，Cookie只在特定的路径下是合法的。

AExpires参数用于指定Cookie在多长时间内是合法的，由于时差的原因，这个时间应当基于GMT时区。如果您想使Cookie的有效时间是10天，就应当把这个参数设为Now+10。如果要使一个Cookie无效，这个参数可以设为过去的一个时间。注意，一个Cookie无效后，就不会被传递给服务器，但并不从客户机中删除。

ASecure参数是一个boolean值，如果这个参数设为True，表示Cookie只能通过HTTP或SSL传递。一般情况，这个参数设为False。    在Web服务器端，您可以通过TWebRequest的CookieFields特性访问由客户传递来的Cookie。这个特性是一个TStrings对象，每个Cookie的格式是param=value。

调用TWebRequest的ExtractCookieFields()方法可以把多个Cookie分解为一个个字符串。   

Cookie可以保存任何字符串所能表达的信息。Cookie的长度最多可达4KB,客户的机器最多可以保存300个Cookie.每个服务器或域的Cookie不超过20个。

下面举一个例子说明Cookie的应用：

//创建Cookie   

var
    CookList : TStringList;
    iBZ,fcbz:integer; begin
    CookList := TStringList.Create;
    try
        CookList.Add('NSRID='+ sNSRID);
        CookList.Add('NSRMC=' + sNSRMC);
        CookList.Add('WJBM=' + sWJBM);
        CookList.Add('YHZH=' + sYHZH);
        iBZ:=0;
        fcbz:=0;
        CookList.Add('BZ=' + IntToStr(iBZ));
        CookList.Add('FCBZ=' + IntToStr(fcbz));
        Response.SetCookieField(cookList,'','',Now+10,False);
  finally
        cookList.Free;
  End;
End

// 使用cookie

iBZ:=StrToInt(Request.CookieFields.Values['BZ']);

 

五、cookie欺骗

非法获取他人的cookie，然后把别人的Cookie向服务器提交，并且能够通过验证，他们就可以冒充受害人的身份，登陆网站。