Cookie 是在 HTTP 協(xié)議下，服務(wù)器或腳本用來(lái)維護(hù)客戶(hù)端上信息的一種方式。Cookie 是由 web 服務(wù)器保存在用戶(hù)瀏覽器（客戶(hù)端）上的小文本文件，它可以包含有關(guān)用戶(hù)的信息。無(wú)論何時(shí)用戶(hù)鏈接到服務(wù)器，Web 站點(diǎn)都可以訪(fǎng)問(wèn) Cookie 信息。

創(chuàng)新互聯(lián)建站專(zhuān)注于巨鹿網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠(chéng)為您提供巨鹿?fàn)I銷(xiāo)型網(wǎng)站建設(shè)，巨鹿網(wǎng)站制作、巨鹿網(wǎng)頁(yè)設(shè)計(jì)、巨鹿網(wǎng)站官網(wǎng)定制、微信平臺(tái)小程序開(kāi)發(fā)服務(wù)，打造巨鹿網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供巨鹿網(wǎng)站排名全網(wǎng)營(yíng)銷(xiāo)落地服務(wù)。

有些 Cookie 是臨時(shí)的，有些則是持續(xù)的。臨時(shí)的 Cookie 只在瀏覽器上保存一段規(guī)定的時(shí)間，一旦超過(guò)規(guī)定的時(shí)間，該 Cookie 就會(huì)被系統(tǒng)清除。

持續(xù)的 Cookie 則保存在用戶(hù)的 Cookie 文件中，下一次用戶(hù)返回時(shí)，仍然可以對(duì)它進(jìn)行調(diào)用。在 Cookie 文件中保存 Cookie，有些用戶(hù)擔(dān)心 Cookie 中的用戶(hù)信息被一些別有用心的人竊取，而造成一定的損害。

其實(shí)，網(wǎng)站以外的用戶(hù)無(wú)法跨過(guò)網(wǎng)站來(lái)獲得 Cookie 信息。如果因?yàn)檫@種擔(dān)心而屏蔽 Cookie，肯定會(huì)因此拒絕訪(fǎng)問(wèn)許多站點(diǎn)頁(yè)面。因?yàn)?，?dāng)今有許多 Web 站點(diǎn)開(kāi)發(fā)人員使用 Cookie 技術(shù)，例如 Session 對(duì)象的使用就離不開(kāi) Cookie 的支持。

Cookie 的主要用途

服務(wù)器可以利用 Cookie 包含信息的任意性來(lái)篩選并維護(hù)這些信息，以判斷 HTTP 傳輸中的狀態(tài)。Cookie 最典型的應(yīng)用是判定注冊(cè)用戶(hù)是否已經(jīng)登錄網(wǎng)站，同時(shí)用戶(hù)可能也會(huì)得到提示，是否在下一次進(jìn)入此網(wǎng)站時(shí)保留用戶(hù)信息以便簡(jiǎn)化登錄手續(xù)，這些都是 Cookie 的功用。

另一個(gè)重要應(yīng)用場(chǎng)合就是商城類(lèi)網(wǎng)站的“購(gòu)物車(chē)”功能。用戶(hù)可能會(huì)在一段時(shí)間內(nèi)在同一家網(wǎng)站的不同頁(yè)面中選擇不同的商品，這些信息都會(huì)寫(xiě)入 Cookie，以便在最后付款時(shí)提取信息。

Cookie 的生命周期

Cookie 可以保持登錄信息到用戶(hù)下次與服務(wù)器的會(huì)話(huà)，換句話(huà)說(shuō)，下次訪(fǎng)問(wèn)同一網(wǎng)站時(shí)，用戶(hù)會(huì)發(fā)現(xiàn)不必輸入用戶(hù)名和密碼就已經(jīng)登錄了（當(dāng)然，如果手動(dòng)刪除 Cookie 就需要重新登陸了）。而還有一些 Cookie 在用戶(hù)退出會(huì)話(huà)的時(shí)候就被刪除了，這樣可以有效保護(hù)個(gè)人隱私。

Cookie 在生成時(shí)就會(huì)被指定一個(gè) Expire 值，這就是 Cookie 的生存周期，在這個(gè)周期內(nèi) Cookie 有效，超出這個(gè)周期 Cookie 就會(huì)被清除。有些頁(yè)面將 Cookie 的生存周期設(shè)置為“0”或負(fù)值，這樣在關(guān)閉瀏覽器時(shí)，就會(huì)馬上清除 Cookie，不會(huì)記錄用戶(hù)信息，更加安全。

Cookie 的識(shí)別功能

如果在一臺(tái)計(jì)算機(jī)中安裝多個(gè)瀏覽器，每個(gè)瀏覽器都會(huì)在各自獨(dú)立的空間存放 Cookie。因?yàn)?Cookie 中不但可以確認(rèn)用戶(hù)，還能包含計(jì)算機(jī)和瀏覽器的信息，所以一個(gè)用戶(hù)用不同的瀏覽器登錄或者用不同的計(jì)算機(jī)登錄，都會(huì)得到不同的 Cookie 信息，另一方面，對(duì)于在同一臺(tái)計(jì)算機(jī)上使用同一瀏覽器的多個(gè)用戶(hù)，Cookie 不會(huì)區(qū)分他們的身份，除非他們使用不同的用戶(hù)名登錄。

腳本攻擊

盡管 Cookie 沒(méi)有病毒那么危險(xiǎn)，但它仍包含了一些敏感信息，比如用戶(hù)名、計(jì)算機(jī)名等，使用的瀏覽器和曾經(jīng)訪(fǎng)問(wèn)的網(wǎng)站。用戶(hù)不希望這些內(nèi)容泄漏出去，尤其是當(dāng)其中還包含有私人信息的時(shí)候。

這并非危言聳聽(tīng)，一種名為跨站腳本攻擊（Cross site scripting）的方式就可以達(dá)到此目的。通?？缯灸_本攻擊往往利用網(wǎng)站漏洞在網(wǎng)站頁(yè)面中植入腳本代碼或網(wǎng)站頁(yè)面引用第三方法腳本代碼，均存在跨站腳本攻擊的可能，在受到跨站腳本攻擊時(shí)，腳本指令將會(huì)讀取當(dāng)前站點(diǎn)的所有 Cookie 內(nèi)容（已不存在 Cookie 作用域限制），然后通過(guò)某種方式將 Cookie 內(nèi)容提交到指定的服務(wù)器（如：AJAX）。一旦 Cookie 落入攻擊者手中，它將會(huì)重現(xiàn)其價(jià)值。

建議開(kāi)發(fā)人員在向客戶(hù)端 Cookie 輸出敏感的內(nèi)容時(shí)，要注意以下幾點(diǎn)（譬如：該內(nèi)容能識(shí)別用戶(hù)身份）：

• 設(shè)置 Cookie 不能被腳本讀取，這樣在一定程度上可以解決上述問(wèn)題；
• 對(duì) Cookie 內(nèi)容進(jìn)行加密，在加密前嵌入時(shí)間戳，保證每次加密后的密文都不一樣（并且可以防止消息重放）；
• 客戶(hù)端請(qǐng)求時(shí)，每次或定時(shí)更新 Cookie 內(nèi)容（即重新加密）；
• 每次向 Cookie 寫(xiě)入時(shí)間戳，數(shù)據(jù)庫(kù)需要記錄最后一次時(shí)間戳（防止 Cookie 篡改，或重放攻擊）；
• 客戶(hù)端提交 Cookie 時(shí)，先解密然后校驗(yàn)時(shí)間戳，時(shí)間戳若小于數(shù)據(jù)數(shù)據(jù)庫(kù)中記錄，即意味發(fā)生攻擊。

基于上述建議，即使 Cookie 被竊取，卻因 Cookie 被隨機(jī)更新，且內(nèi)容無(wú)規(guī)律性，攻擊者無(wú)法加以利用。另外利用了時(shí)間戳另一大好處就是防止 Cookie 篡改或重放。