你好，是我琉憶，

今天我們講一講什么是Cookie，怎么理解Cookie，

在我們Web開發中，例如要想長久的存盤一個用戶的資訊，到底需要使用什么樣的一個方式進行儲存？我們一起來看看，

1、Cookie物件

我們先從Cookie開始介紹，在ASP.NET開發中，提供了Cookie物件，該物件已經封裝好了所有對Cookie相關的操作，底層的封裝實作我們不需要關心，需要重點掌握該物件的操作和使用，

2、什么是Cookie？

Cookie的翻譯解釋有以下幾種：曲奇; 精明強干的人; 堅強的人; 網路餅干(網路或互聯網使用者發給中央服務器資訊的計算機檔案)，很明顯對該英文的最好解釋是“網路餅干”，它是一個保存在客戶機中的簡單的文本檔案，是某些網站為了辨別用戶身份，進行Session跟蹤而儲存在用戶本地終端上的資料（通常經過加密），由用戶客戶端計算機暫時或永久保存的資訊，

由于Cookie具有可以保存在客戶機上的神奇特性, 因此它可以幫助我們實作記錄用戶個人資訊的功能, 而這一切都不必使用復雜的CGI等程式完成，舉例來說, 一個 Web 站點可能會為每一個訪問者產生一個唯一的ID, 然后以 Cookie 檔案的形式保存在每個用戶的機器上，如果使用瀏覽器訪問 Web, 會看到所有保存在硬碟上的 Cookie，在這個檔案夾里每一個檔案都是一個由“名/值”對組成的文本檔案,另外還有一個檔案保存有所有對應的 Web 站點的資訊，在這里的每個 Cookie 檔案都是一個簡單而又普通的文本檔案，透過檔案名, 就可以看到是哪個 Web 站點在機器上放置了Cookie，當然站點資訊在檔案里也有保存，

Cookie主要由以下內容組成：

Cookie是一段不超過4KB的小型文本資料，由一個名稱（Name）、一個值（Value）和其它幾個用于控制Cookie有效期、安全性、使用范圍的可選屬性組成，其中：

(1)Name/Value：設定Cookie的名稱及相對應的值，對于認證Cookie，Value值包括Web服務器所提供的訪問令牌，

(2)Expires屬性：設定Cookie的生存期，有兩種存盤型別的Cookie：會話性與持久性，Expires屬性預設時，為會話性Cookie，僅保存在客戶端記憶體中，并在用戶關閉瀏覽器時失效；持久性Cookie會保存在用戶的硬碟中，直至生存期到或用戶直接在網頁中單擊“注銷”等按鈕結束會話時才會失效，

(3)Path屬性：定義了Web站點上可以訪問該Cookie的目錄，

(4)Domain屬性：指定了可以訪問該 Cookie 的 Web 站點或域，Cookie 機制并未遵循嚴格的同源策略，允許一個子域可以設定或獲取其父域的 Cookie，當需要實作單點登錄方案時，Cookie 的上述特性非常有用，然而也增加了 Cookie受攻擊的危險，比如攻擊者可以借此發動會話定置攻擊，因而，瀏覽器禁止在 Domain 屬性中設定.org、.com 等通用頂級域名、以及在國家及地區頂級域下注冊的二級域名，以減小攻擊發生的范圍，

(5)Secure屬性：指定是否使用HTTPS安全協議發送Cookie，使用HTTPS安全協議，可以保護Cookie在瀏覽器和Web服務器間的傳輸程序中不被竊取和篡改，該方法也可用于Web站點的身份鑒別，即在HTTPS的連接建立階段，瀏覽器會檢查Web網站的SSL證書的有效性，但是基于兼容性的原因（比如有些網站使用自簽署的證書）在檢測到SSL證書無效時，瀏覽器并不會立即終止用戶的連接請求，而是顯示安全風險資訊，用戶仍可以選擇繼續訪問該站點，由于許多用戶缺乏安全意識，因而仍可能連接到Pharming攻擊所偽造的網站，

(6)HTTPOnly 屬性 ：用于防止客戶端腳本通過document.cookie屬性訪問Cookie，有助于保護Cookie不被跨站腳本攻擊竊取或篡改，但是，HTTPOnly的應用仍存在局限性，一些瀏覽器可以阻止客戶端腳本對Cookie的讀操作，但允許寫操作；此外大多數瀏覽器仍允許通過XMLHTTP物件讀取HTTP回應中的Set-Cookie頭，

需要知道的是：一個網站支持多個Cookie的使用，每個Cookie的鍵名可以不同，每個鍵名可以存盤的東西都可以不一樣，如果鍵名一樣，那么后一個鍵名的值會覆寫前一個鍵名的值，

Cookie 技術有很多局限性，例如：

1）多人共用一臺計算機，Cookie 資料容易泄露，

2）一個站點存盤的 Cookie 資訊有限，

3）有些瀏覽器不支持 Cookie，

4）用戶可以通過設定瀏覽器選項來禁用 Cookie，

正是由于以上 Cookie 的一些局限性，所以，在進行會話管理時，SessionID 通常會選擇Cookie 和 URL 兩種方式來保存，而不是只保存在 Cookie 中，

【如果你還沒有關注我，可以點點關注，下次更新精彩博文，我通知你】

3、為什么需要Cookie？

簡單介紹了Cookie是什么、組成和使用程序后，我們來看看為什么需要用到Cookie，

最根本的原因還是因為HTTP協議是無狀態協議，每次請求程序只負責傳輸資料而不區分請求來源，導致需要使用Cookie技術來區分不同的請求者，通過前面的介紹我們知道，Cookie其實只是一個不超過4KB的小型文本資料，由名稱、值和一些可選屬性組成，可以理解為，客戶端每次向服務端請求時，請求頭都會添加Cookie請求后端，后端可以獲取該Cookie區分請求來源，

在這里我們需要重點掌握的是Cookie大小不超過4KB，所以沒有辦法使用Cookie存盤過大的資料，其次也不建議使用Cookie記住太多的關鍵資訊，避免請求程序中消耗過多帶寬以及降低網頁訪問效率等問題，除此之外，還需要知道Cookie是存盤在客戶端電腦的，存盤的Cookie資料一般是加密過的，存盤在客戶端的Cookie檔案可以設定有效期時間，甚至可以永久存盤在客戶端電腦，

4、Cookie使用在哪些場合？

Cookie 可以用來存盤用戶名、密碼、訪問該站點的次數等資訊，

有這樣一種場景，后臺登錄頁有一個記住用戶名或者記住密碼的選項，當我們打鉤登錄成功后，下次再進到登錄頁時會發現賬號和密碼都保存有，這種場景用的就是Cookie存盤了，

你可能會奇怪為什么這種場景用的是Cookie，存盤資料在客戶端這樣賬號和密碼不是不安全嗎？首先我們要知道，Cookie可以快取資料到本地，也就是說Cookie存盤的資料是存盤在客戶端的，當我們勾選“記住用戶名或者記住密碼”時，就是允許Cookie記住用戶名和密碼，那么當我們再次進入這個登錄頁時，可以直接讀取Cookie的資料回來加載顯示到輸入框中，從而看到我們之前輸入的賬號和密碼，那么這樣寫確實會存在不安全的問題，但是只要這臺電腦不是給別人使用，都不用擔心存在泄露資料，因為這些賬號和密碼本身就只有你知道，別人不用你電腦就不存在直接查看你的賬號密碼的問題，

所以記住用戶名和密碼的場景一般都是使用Cookie來存盤實作該功能，需要知道的是Cookie不適合存盤安全性比較高、敏感的資料，容易存在黑客竊取本地Cookie破解的問題，

我寫的書開始預售了！！！

最近正在寫一本《ASP.NET Web動態網站》開發的書，預計2月底寫完，敬請期待~

如果有需要的小伙伴可以提前預定哦~

預定網址：http://www.71muke.com/course/info/99

更多編程知識獲取，可以關注公眾號：琉憶編程庫，

標籤：其他

上一篇：HTML常用標記

下一篇：多個條件if函式在for回圈中