[TOC] # Cookie ****** Cookie 是在 HTTP 協議下，服務器或腳本可以維護客戶工作站上信息的一種方式。 Cookie 是由 Web 服務器保存在用戶瀏覽器（客戶端）上的小文本文件，它可以包含有關用戶的信息。無論何時用戶鏈接到服務器，Web 站點都可以訪問 Cookie 信息。 目前有些 Cookie 是臨時的，有些則是持續的。臨時的 Cookie 只在瀏覽器上保存一段規定的時間，一旦超過規定的時間，該 Cookie 就會被系統清除。 持續的 Cookie 則保存在用戶的 Cookie 文件中，下一次用戶訪問時，仍然可以對它進行調用。在 Cookie 文件中保存 Cookie，有些用戶擔心 Cookie 中的用戶信息被一些別有用心的人竊取，而造成一定的損害。其實，網站以外的用戶無法跨過網站來獲得 Cookie 信息。如果因為這種擔心而屏蔽 Cookie，肯定會因此拒絕訪問許多站點頁面。因為，當今有許多 Web 站點開發人員使用 Cookie 技術，例如 Session 對象的使用就離不開 Cookie 的支持。 <br /> ## 存儲 cookie 存儲在用戶端（通常是瀏覽器端），可通過 JavaScript 腳本，服務端 response 頭進行設置/修改/刪除操作。一個 cookie，存在以下信息： ``` name 一個唯一確定的cookie名稱,通常來講cookie的名稱是不區分大小寫的。 value 存儲在cookie中的字符串值。 domain cookie對于哪個域是有效的。所有向該域發送的請求中都會包含這個cookie信息。這個值可以包含子域(如： yq.aliyun.com)，也可以不包含它(如：.aliyun.com，則對于aliyun.com的所有子域都有效). path 表示這個cookie影響到的路徑，瀏覽器跟會根據這項配置，像指定域中匹配的路徑發送cookie。 expires 失效時間，表示cookie何時應該被刪除的時間戳(也就是，何時應該停止向服務器發送這個cookie)。如果不設置這個時間戳，瀏覽器會在頁面關閉時即將刪除所有cookie；不過也可以自己設置刪除時間。這個值是GMT時間格式，如果客戶端和服務器端時間不一致，使用expires就會存在偏差。 max-age 與expires作用相同，用來告訴瀏覽器此cookie多久過期（單位是秒），而不是一個固定的時間點。正常情況下，max-age的優先級高于expires。 HttpOnly 告知瀏覽器不允許通過腳本document.cookie去更改這個值，同樣這個值在document.cookie中也不可見。但在http請求張仍然會攜帶這個cookie。注意這個值雖然在腳本中不可獲取，但仍然在瀏覽器安裝目錄中以文件形式存在。這項設置通常在服務器端設置。 secure 安全標志，指定后，只有在使用SSL鏈接時候才能發送到服務器，如果是http鏈接則不會傳遞該信息。就算設置了secure 屬性也并不代表他人不能看到你機器本地保存的 cookie 信息，所以不要把重要信息放cookie就對了服務器端設置 ``` cookie 不僅僅只作為 session 會話，也可以存儲一些不重要的會員個性化設置，例如： * 用戶 A 通過設置 cookie type:red * 用戶 A 請求服務端，想獲取一個頁面 * 服務端接收到請求，并解析到 type:red，給用戶 A 返回一個紅色風格的首頁 <br /> ## 安全 ### 服務端安全 首先，cookie 是存儲在用戶端的，可以被用戶修改，所以服務端不能直接通過一個 cookie 來確定用戶身份，需要用一定的方式加密或者對等存儲（cookie 作為憑證，在服務端記錄對應數據），服務端 session 就是使用這種方法存儲的。 <br /> ### 用戶端安全 在通常情況下，用戶端的 cookie 安全的，網站以外的用戶無法跨過網站來獲取用戶的 cookie 信息，但是有心之人可能會通過 ajax 方法，讓用戶訪問 A 網站，卻使用 B 網站的腳本進行敏感操作。（詳細內容可自行搜索“跨站點腳本攻擊”） <br /> ## phper 的 cookie 在 php web 網站中，用戶端 cookie 是必不可少的，沒有 cookie 就無法啟動 session 會話，無法識別用戶身份，php 中的 session_start() 函數就是向用戶端設置一個 cookie 值用于 session 會話。