【定义】
Cookie(复数形态Cookies),中文名称为小型文字文件或小甜饼[1],指某些网站为了辨别用户身份而储存在用户本地终端(Client Side)上的数据(通常经过加密)。定义于RFC2109。为网景公司的前雇员Lou Montulli在1993年3月所发明。
分类
【分类】
Cookie总是保存在客户端中,按在客户端中的存储位置,可分为内存Cookie和硬盘Cookie。
内存Cookie由浏览器维护,保存在内存中,浏览器关闭后就消失了,其存在时间是短暂的。硬盘Cookie保存在硬盘里,有一个过期时间,除非用户手工清理或到了过期时间,硬盘Cookie不会被删除,其存在时间是长期的。所以,按存在时间,可分为非持久Cookie和持久Cookie。
【详解分类】
会话cookie:用户使用本网站的持续时间仅持续一个会话 cookie 。通常一个Web浏览器退出时删除会话cookie。创建时没有有效过期时间指令时创建的Cookie是当一个会话cookie 。
当退出关闭浏览器时在内存删除此cookie。
持久性cookie:一个持久的cookie 将长于用户会话 。如果一个持久的cookie其最大年龄为1年,那么,在今年内,该cookie设置初始值将被发送回服务器每次用户访问该服务器 。这可能是用来记录的信息,如用户最初如何来到这个网站的重要一块 。出于这个原因,也被称为持久Cookie追踪cookies,当关闭浏览器=时,cookie被回写带磁盘做持久化存储。
默认存储在C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Cookies文件夹中,你会发现一个index.dat的文件吗,这个文件应该将cookie文件对应到域的索引文件。
安全cookie:只用了一个安全的cookie是当浏览器访问通过服务器的 HTTPS,以确保该Cookie从客户端传输到服务器时,总是加密。这使得该cookie不太可能通过窃听被盗窃。
HttpOnly的cookie:HttpOnly cookie的支持大多数现代浏览器。[在支持的浏览器,HttpOnly会话cookie的将被用来只有当发送HTTP(或HTTPS)请求,从而限制从其他非HTTP API(如访问如JavaScript)。此限制可以减轻但并没有消除通过跨域盗取会话cookie的脚本攻击。
第三方Cookie:第一方Cookie是在浏览器的地址栏(或它的子域)具有相同域设置的Cookie。第三方Cookie饼干比地址栏上(即在该域的网页功能从第三方域的内容显示一个不同的域 - 例如www.advexample.com运行显示广告横幅广告)。
例如:假设用户访问www.example1.com,这与域设置了一个cookie ad.foxytracking.com。后来当用户访问www.example2.com,另一个cookie设置域ad.foxytracking.com。最终,这些cookies都将被发送到广告客户的时候加载自己的广告或访问他们的网站 。广告客户可以使用这些cookies,建立此广告客户上的脚印在所有的网站的用户浏览器的历史记录 。
Supercookie:一个“supercookie”是一个公共后缀域的cookie,像。 COM ,。 co.uk 或 k12.ca.us 。
大多数浏览器默认情况下,允许第一方Cookies设置相同域或子域的cookie 。例如,一个用户访问www.example.com可以设置 www.example.com或example.com ,但不是COM。一个 COM 会被浏览器阻止,否则attacker.com一样,可以设置example.com。
Zombie cookie:
一个僵尸Zombie cookie是用户已删除的cookie但是可以自动重新创建的cookie。它通过脚本存储在本地其他位置cookie的内容,如在本地存储的Flash内容,HTML5的存储和其他客户端存储的机制,当检测到cookie被删除时,重新创建cookie检测到Cookie。
【用途】
因为HTTP协议是无状态的,即服务器不知道用户上一次做了什么,这严重阻碍了交互式Web应用程序的实现。在典型的网上购物场景中,用户浏览了几个页面,买了一盒饼干和两瓶饮料。最后结帐时,由于HTTP的无状态性,不通过额外的手段,服务器并不知道用户到底买了什么。
所以Cookie就是用来绕开HTTP的无状态性的“额外手段”之一。服务器可以设置或读取Cookies中包含信息,借此维护用户跟服务器会话中的状态。
在刚才的购物场景中,当用户选购了第一项商品,服务器在向用户发送网页的同时,还发送了一段Cookie,记录着那项商品的信息。当用户访问另一个页面,浏览器会把Cookie发送给服务器,于是服务器知道他之前选购了什么。用户继续选购饮料,服务器就在原来那段Cookie里追加新的商品信息。结帐时,服务器读取发送来的Cookie就行了。
Cookie另一个典型的应用是当登录一个网站时,网站往往会请求用户输入用户名和密码,并且用户可以勾选“下次自动登录”。如果勾选了,那么下次访问同一网站时,用户会发现没输入用户名和密码就已经登录了。这正是因为前一次登陆时,服务器发送了包含登录凭据(用户名加密码的某种加密形式)的Cookie到用户的硬盘上。第二次登录时,(如果该Cookie尚未到期)浏览器会发送该Cookie,服务器验证凭据,于是不必输入用户名和密码就让用户登录了。
【HTTP请求与响应中的cookie交互】
第一次请求一个站点
由于第一次请求,本地没有存储这个网站的cookie,所以http request中不包含cookies,服务端响应http response设置网站的cookie已记录一些信息如图1.
浏览器收到cookie 如图2.
再次请求相同站点
点击看cookie的交互
【cookie属性】
Set-Cookie $key=$value; [expires=Tue, 11-Oct-2011 13:59:34 GMT;] [path=/;] [domain=.weibo.com;] [secure;] [httponly;]
<?php
2 ob_start();
3 session_start();
4 $_SESSION['t']='t';
5 $sid=session_id();
6 var_dump($_SESSION);
7 var_dump($_COOKIE);
8 header('Set-Cookie:PHPSESSID=13; path=/; domain=imzong.com; httponly',true);
9 $value = 'something from somewhere';
10 setcookie("tmpCookie0", $value);
11 setcookie("tmpCookie1", $value, time()+10000*3600); /* expire in 1 hour */
12 setcookie("tmpCookie2", $value, time()+10000*3600, "/files");
13 setcookie("tmpCookie3", $value, time()+10000*3600, "/", ".imzong.com", 0,0);
14 setcookie("tmpCookie4", $value, time()+10000*3600, "/", ".weibo.com", 0,0);
15 setcookie("tmpCookie5", $value, time()+10000*3600, "/", ".imzong.com", 1,0);
16 setcookie("tmpCookie6", $value, time()+10000*3600, "/", ".imzong.com", 0,1);
17 setcookie("tmpCookie7", $value, time()+10000*3600, "/", ".imzong.com", 1,1);
18 ob_end_flush();
19 ?>
20 <script language='javascript'>
21 ajax=new XMLHttpRequest()
22 ajax.open("GET","http://data.auto.sina.com.cn/test.php",true);
23 ajax.send();
24 </script>
25 <iframe src='http://data.auto.sina.com.cn/test.php'></iframe>
26
27 <script>
28 alert(document.cookie);
29 </script>
变量名和值是必须得其他过期时间,目录,域,安全连接传输,httponly都是可选的
Set-Cookie PHPSESSID=13; path=/; domain=imzong.com; httponly
Set-Cookie tmpCookie0=something+from+somewhere
没有效时间浏览器关闭时,这些cookie即将失效
只有key和value
Set-Cookie tmpCookie1=something+from+somewhere; expires=Tue, 11-Oct-2011 13:59:34 GMT
Set-Cookie tmpCookie2=something+from+somewhere; expires=Tue, 11-Oct-2011 13:59:34 GMT; path=/files
有效时间内,只有在访问current.domain.com/files时才会有效
Set-Cookie tmpCookie3=something+from+somewhere; expires=Tue, 11-Oct-2011 13:59:34 GMT; path=/; domain=.imzong.com
有效时间内,只要是访问*.imzong.com/*就会有效
Set-Cookie tmpCookie4=something+from+somewhere; expires=Tue, 11-Oct-2011 13:59:34 GMT; path=/; domain=.weibo.com
由于是imzong.com设置的cookie,这个cookie不会有任何作用,不仅不再weibo.com有效并且不会回传到imzong.com
Set-Cookie tmpCookie5=something+from+somewhere; expires=Tue, 11-Oct-2011 13:59:34 GMT; path=/; domain=.imzong.com; secure
只有在安全连接时才会回传这个cookie
Set-Cookie tmpCookie6=something+from+somewhere; expires=Tue, 11-Oct-2011 13:59:34 GMT; path=/; domain=.imzong.com; httponly
只能在http请求中访问此cookie其他js脚本不能访问
下边看一下再次访问此页面
只有tmpCookie0,tmpCookie1,tmpCookie3,tmpCookie6,PHPSESSID又回传给服务器,由于并没有关闭浏览器所以session为期限的cookie也被会传回去了,
接着访问imzong.com/files
只有tmpCookie2,tmpCookie3,tmpCookie6,PHPSESSID又回传给服务器,这次只有tmpCookie0,tmpCookie1没有回传因为目录不对,
接着访问weibo.com
那个tmpcookie4是没有发送的,可见我们是不能这样设置的呵呵。