cookie详解

cookie概述

在上一节，曾经利用一个不变的框架来存储购物栏数据，而商品显示页面是不断变化的，尽管这样能达到一个模拟全局变量的功能，但并不严谨。例如在导航框架页面内右击，单击快捷菜单中的【刷新】命令，则所有的JavaScript变量都会丢失。因此，要实现严格的跨页面全局变量，这种方式是不行的，JavaScript中的另一个机制：cookie，则可以达到真正全局变量的要求。

cookie是浏览器提供的一种机制，它将document对象的cookie属性提供给JavaScript。可以由JavaScript对其进行控制，而并不是JavaScript本身的性质。cookie是存于用户硬盘的一个文件，这个文件通常对应于一个域名，当浏览器再次访问这个域名时，便使这个cookie可用。因此，cookie可以跨越一个域名下的多个网页，但不能跨越多个域名使用。

不同的浏览器对cookie的实现也不一样，但其性质是相同的。例如在Windows 2000以及Windows xp中，cookie文件存储于documents and settings\userName\cookie\文件夹下。通常的命名格式为：userName@domain.txt。

cookie机制将信息存储于用户硬盘，因此可以作为全局变量，这是它最大的一个优点。它可以用于以下几种场合。

 保存用户登录状态。例如将用户id存储于一个cookie内，这样当用户下次访问该页面时就不需要重新登录了，现在很多论坛和社区都提供这样的功能。cookie还可以设置过期时间，当超过时间期限后，cookie就会自动消失。因此，系统往往可以提示用户保持登录状态的时间：常见选项有一个月、三个月、一年等。

 跟踪用户行为。例如一个天气预报网站，能够根据用户选择的地区显示当地的天气情况。如果每次都需要选择所在地是烦琐的，当利用了cookie后就会显得很人性化了，系统能够记住上一次访问的地区，当下次再打开该页面时，它就会自动显示上次用户所在地区的天气情况。因为一切都是在后台完成，所以这样的页面就像为某个用户所定制的一样，使用起来非常方便。

? 定制页面。如果网站提供了换肤或更换布局的功能，那么可以使用cookie来记录用户的选项，例如：背景色、分辨率等。当用户下次访问时，仍然可以保存上一次访问的界面风格。

? 创建购物车。正如在前面的例子中使用cookie来记录用户需要购买的商品一样，在结账的时候可以统一提交。例如淘宝网就使用cookie记录了用户曾经浏览过的商品，方便随时进行比较。

当然，上述应用仅仅是cookie能完成的部分应用，还有更多的功能需要全局变量。cookie的缺点主要集中于安全性和隐私保护。主要包括以下几种：

? cookie可能被禁用。当用户非常注重个人隐私保护时，他很可能禁用浏览器的cookie功能；

? cookie是与浏览器相关的。这意味着即使访问的是同一个页面，不同浏览器之间所保存的cookie也是不能互相访问的；

? cookie可能被删除。因为每个cookie都是硬盘上的一个文件，因此很有可能被用户删除；

? cookie安全性不够高。所有的cookie都是以纯文本的形式记录于文件中，因此如果要保存用户名密码等信息时，最好事先经过加密处理。

设置cookie

每个cookie都是一个名/值对，可以把下面这样一个字符串赋值给document.cookie：

document.cookie="userId=828";

如果要一次存储多个名/值对，可以使用分号加空格（; ）隔开，例如：

document.cookie="userId=828;userName=hulk";

在cookie的名或值中不能使用分号（;）、逗号（,）、等号（=）以及空格。在cookie的名中做到这点很容易，但要保存的值是不确定的。如何来存储这些值呢？方法是用escape()函数进行编码，它能将一些特殊符号使用十六进制表示，例如空格将会编码为“20%”，从而可以存储于cookie值中，而且使用此种方案还可以避免中文乱码的出现。例如：

document.cookie="str="+escape("Ilove ajax");

相当于：

document.cookie="str=I%20love%20ajax";

当使用escape()编码后，在取出值以后需要使用unescape()进行解码才能得到原来的cookie值，这在前面已经介绍过。

尽管document.cookie看上去就像一个属性，可以赋不同的值。但它和一般的属性不一样，改变它的赋值并不意味着丢失原来的值，例如连续执行下面两条语句：

document.cookie="userId=828";

document.cookie="userName=hulk";

这时浏览器将维护两个cookie，分别是userId和userName，因此给document.cookie赋值更像执行类似这样的语句：

document.addcookie("userId=828");

document.addcookie("userName=hulk");

事实上，浏览器就是按照这样的方式来设置cookie的，如果要改变一个cookie的值，只需重新赋值，例如：

document.cookie="userId=929";

这样就将名为userId的cookie值设置为了929。

获取cookie的值

下面介绍如何获取cookie的值。cookie的值可以由document.cookie直接获得：

var strcookie=document.cookie;

这将获得以分号隔开的多个名/值对所组成的字符串，这些名/值对包括了该域名下的所有cookie。例如：

<script language="JavaScript"type="text/JavaScript">

<!--

document.cookie="userId=828";

document.cookie="userName=hulk";

var strcookie=document.cookie;

alert(strcookie);

//-->

</script>

图7.1显示了输出的cookie值。由此可见，只能够一次获取所有的cookie值，而不能指定cookie名称来获得指定的值，这正是处理cookie值最麻烦的一部分。用户必须自己分析这个字符串，来获取指定的cookie值，例如，要获取userId的值，可以这样实现：

<script language="JavaScript"type="text/JavaScript">

<!--

//设置两个cookie

document.cookie="userId=828";

document.cookie="userName=hulk";

//获取cookie字符串

var strcookie=document.cookie;

//将多cookie切割为多个名/值对

var arrcookie=strcookie.split(";");

var userId;

//遍历cookie数组，处理每个cookie对

for(var i=0;i<arrcookie.length;i++){

     var arr=arrcookie[i].split("=");

     //找到名称为userId的cookie，并返回它的值

     if("userId"==arr[0]){

            userId=arr[1];

            break;

     }

}

alert(userId);

//-->

</script>

这样就得到了单个cookie的值

用类似的方法，可以获取一个或多个cookie的值，其主要的技巧仍然是字符串和数组的相关操作。

给cookie设置终止日期

到现在为止，所有的cookie都是单会话cookie，即浏览器关闭后这些cookie将会丢失，事实上这些cookie仅仅是存储在内存中，而没有建立相应的硬盘文件。

在实际开发中，cookie常常需要长期保存，例如保存用户登录的状态。这可以用下面的选项来实现：

document.cookie="userId=828;expires=GMT_String";

其中GMT_String是以GMT格式表示的时间字符串，这条语句就是将userId这个cookie设置为GMT_String表示的过期时间，超过这个时间，cookie将消失，不可访问。例如：如果要将cookie设置为10天后过期，可以这样实现：

<script language="JavaScript"type="text/JavaScript">

<!--

//获取当前时间

var date=new Date();

var expireDays=10;

//将date设置为10天以后的时间

date.setTime(date.getTime()+expireDays*24*3600*1000);

//将userId和userName两个cookie设置为10天后过期

document.cookie="userId=828;userName=hulk; expire="+date.toGMTString();

//-->

</script>

删除cookie

为了删除一个cookie，可以将其过期时间设定为一个过去的时间，例如：

<script language="JavaScript"type="text/JavaScript">

<!--

//获取当前时间

var date=new Date();

//将date设置为过去的时间

date.setTime(date.getTime()-10000);

//将userId这个cookie删除

document.cookie="userId=828;expire="+date.toGMTString();

//-->

</script>

指定可访问cookie的路径

默认情况下，如果在某个页面创建了一个cookie，那么该页面所在目录中的其他页面也可以访问该cookie。如果这个目录下还有子目录，则在子目录中也可以访问。例如在www.xxxx.com/html/a.html中所创建的cookie，可以被www.xxxx.com/html/b.html或www.xxx.com/html/ some/c.html所访问，但不能被www.xxxx.com/d.html访问。

为了控制cookie可以访问的目录，需要使用path参数设置cookie，语法如下：

document.cookie="name=value;path=cookieDir";

其中cookieDir表示可访问cookie的目录。例如：

document.cookie="userId=320;path=/shop";

就表示当前cookie仅能在shop目录下使用。

如果要使cookie在整个网站下可用，可以将cookie_dir指定为根目录，例如：

document.cookie="userId=320;path=/";

指定可访问cookie的主机名

和路径类似，主机名是指同一个域下的不同主机，例如：www.google.com和gmail.google.com就是两个不同的主机名。默认情况下，一个主机中创建的cookie在另一个主机下是不能被访问的，但可以通过domain参数来实现对其的控制，其语法格式为：

document.cookie="name=value;domain=cookieDomain";

以google为例，要实现跨主机访问，可以写为：

document.cookie="name=value;domain=.google.com";

这样，所有google.com下的主机都可以访问该cookie。

综合示例：构造通用的cookie处理函数

cookie的处理过程比较复杂，并具有一定的相似性。因此可以定义几个函数来完成cookie的通用操作，从而实现代码的复用。下面列出了常用的cookie操作及其函数实现。

1．添加一个cookie：addcookie(name,value,expireHours)

该函数接收3个参数：cookie名称，cookie值，以及在多少小时后过期。这里约定expireHours为0时不设定过期时间，即当浏览器关闭时cookie自动消失。该函数实现如下：

<script language="JavaScript"type="text/JavaScript">

<!--

function addcookie(name,value,expireHours){

     var cookieString=name+"="+escape(value);

     //判断是否设置过期时间

     if(expireHours>0){

            var date=new Date();

            date.setTime(date.getTime+expireHours*3600*1000);

            cookieString=cookieString+"; expire="+date.toGMTString();

     }

     document.cookie=cookieString;

}

//-->

</script>

2．获取指定名称的cookie值：getcookie(name)

该函数返回名称为name的cookie值，如果不存在则返回空，其实现如下：

<script language="JavaScript"type="text/JavaScript">

<!--

function getcookie(name){

     var strcookie=document.cookie;

     var arrcookie=strcookie.split("; ");

     for(var i=0;i<arrcookie.length;i++){

           var arr=arrcookie[i].split("=");

           if(arr[0]==name)return arr[1];

     }

     return "";

}

//-->

</script>

3．删除指定名称的cookie：deletecookie(name)

该函数可以删除指定名称的cookie，其实现如下：

<script language="JavaScript"type="text/JavaScript">

<!--

function deletecookie(name){

      var date=new Date();

      date.setTime(date.getTime()-10000);

      document.cookie=name+"=v; expire="+date.toGMTString();

}

//-->

</script>

也可以用另一种网上流传的:

 

<script language="JavaScript"type="text/JavaScript">

//写cookies函数 作者：翟振凯

function SetCookie(name,value)//两个参数，一个是cookie的名子，一个是值

{

   var Days = 30; //此 cookie 将被保存 30 天

   var exp  = new Date();    //new Date("December 31, 9998");

   exp.setTime(exp.getTime() + Days*24*60*60*1000);

   document.cookie = name + "="+ escape (value) +";expires=" + exp.toGMTString();

}

function getCookie(name)//取cookies函数       

{

   var arr = document.cookie.match(new RegExp("(^|)"+name+"=([^;]*)(;|$)"));

    if(arr != null) return unescape(arr[2]); return null;

}

function delCookie(name)//删除cookie

{

   var exp = new Date();

   exp.setTime(exp.getTime() - 1);

   var cval=getCookie(name);

   if(cval!=null) document.cookie= name +"="+cval+";expires="+exp.toGMTString();

}

SetCookie ("xiaoqi","3")

alert(getCookie('xiaoqi'));

</script>

 

 

[JS]Cookie精通之路

 

<!—Cookies，有些人喜欢它们，有些人憎恨它们。但是，很少有人真正知道如何使用它们。现在你可以成为少数人中的成员－可以自傲的Cookie 大师。-->

 

如果你象作者一样记性不好，那么你可能根本记不住人们的名字。我遇到人时，多半只是点点头，问句“吃了嘛！”，而且期望问候到此为止。如果还需要表示些什么，那么我就得求助于一些狡猾的技巧，好让我能想对方是谁。比如胡扯起一些和对方有关的人，不管他们之间关系多远，只要能避免不记得对方名字的尴尬就好：“你隔壁邻居的侄子的可爱小狗迈菲斯特怎么样？”通过这个方法，我希望能让对方感到，我确实很重视他（她），甚至还记得这些琐事，虽然实际上连名字都忘记了。但是，不是我不重视，而是我的记忆力实在是糟糕，而且要记住的名字又实在太多。如果我能给每个人设置cookies，那么我就不会再犯这种记忆力问题了。

 

在这篇文章里，我们要学习：

 

1. 什么是 Cookies?

2. Cookie 的构成

3. 操纵 Cookies

4. Cookie 怪兽

 

什么是Cookies?

 

你会问，什么是cookies呢? cookie 是浏览器保存在用户计算机上的少量数据。它与特定的WEB页或WEB站点关联起来，自动地在WEB浏览器和WEB服务器之间传递。

 

比如，如果你运行的是Windows操作系统，使用Internet Explorer上网，那么你会发现在你的“Windows”目录下面有一个子目录，叫做“Temporary Internet Files”。如果你有空看看这个目录，就会发现里面有一些文件，文件名称看起来就象电子邮件地址。比如在我机器上的这个目录里，就有“jim@support.microsoft.com”这样的文件。这是一个cookie 文件，这个文件从哪来呢？猜一猜，它来自微软的支持站点。顺便说一句，这不是我的电子邮件地址，特此澄清。

 

对于管理细小的、不重要的、不想保存在中央数据库里的细节信息，Cookies 是个很不错的方案。（这不是说大家的名字不重要。）比如，目前网站上不断增长的自定义服务，可以为每个用户定制他们要看的内容。如果你设计的就是这样一个站点，那么你怎么来管理这样的信息：一个用户喜欢绿色的菜单条，而另一个喜欢红色的。确实是个累人的问题。不过，这样的信息，可以很安全地记录到cookie，并保存在用户的计算机上，而你自己的数据库空间可以留给更长久更有意义的数据。

 

FYI: Cookies 对于安全用途，通常很有用。我不想在此就这一问题过于深入，只是提供一个示例，可以看到如何使用在一段时间之后过期的cookies来保证站点安全：

 

1. 使用用户名和口令，通过 SSL 登录。

2. 在服务器的数据库里检查用户名和口令。如果登录成功，建立一个当前时间标签的消息摘要 (比如 MD5) ，并把它保存在cookie和服务器数据库里。把用户的登录时间保存在服务器数据库里面的用户记录里。

3. 在进行每个安全事务时（用户处于登录状态的任何事务），把cookie的消息摘要和保存在服务器数据库里的摘要进行比较，如果比较失败，就把用户引导到登录界面。

4. 如果第3步检查通过，那么检查当前时间和登录时间之音经过的时间是否超过允许的时间长度。如果用户已经超时，那么就把用户引到登录界面。

5. 如果第3步和第4步都通过了，那么把登录时间重新设置成当前时间，允许事务发生。那些需要你登录的安全站点，可能多数使用的都是和这里介绍的类似的方法。

Cookie的构成

 

Cookies最初设计时，是为了CGI编程。但是，我们也可以使用Javascript脚本来操纵cookies。在本文里，我们将演示如何使用Javascript脚本来操纵cookies。(如果有需求，我可能会在以后的文章里介绍如何使用Perl进行cookie管理。但是如果实在等不得，那么我现在就教你一手：仔细看看CGI.pm。在这个CGI包里有一个cookie()函数，可以用它建立cookie。但是，还是让我们先来介绍cookies的本质。

 

在Javascript脚本里，一个cookie 实际就是一个字符串属性。当你读取cookie的值时，就得到一个字符串，里面当前WEB页使用的所有cookies的名称和值。每个cookie除了name名称和value值这两个属性以外，还有四个属性。这些属性是： expires过期时间、 path路径、 domain域、以及 secure安全。

 

Expires – 过期时间。指定cookie的生命期。具体是值是过期日期。如果想让cookie的存在期限超过当前浏览器会话时间，就必须使用这个属性。当过了到期日期时，浏览器就可以删除cookie文件，没有任何影响。

 

Path – 路径。指定与cookie关联的WEB页。值可以是一个目录，或者是一个路径。如果http://www.zdnet.com/devhead/index.html 建立了一个cookie，那么在http://www.zdnet.com/devhead/目录里的所有页面，以及该目录下面任何子目录里的页面都可以访问这个cookie。这就是说，在http://www.zdnet.com/devhead/stories/articles 里的任何页面都可以访问http://www.zdnet.com/devhead/index.html建立的cookie。但是，如果http://www.zdnet.com/zdnn/需要访问http://www.zdnet.com/devhead/index.html设置的cookes，该怎么办？这时，我们要把cookies的path属性设置成“/”。在指定路径的时候，凡是来自同一服务器，URL里有相同路径的所有WEB页面都可以共享cookies。现在看另一个例子：如果想让 http://www.zdnet.com/devhead/filters/ 和http://www.zdnet.com/devhead/stories/共享cookies，就要把path设成“/devhead”。

 

Domain – 域。指定关联的WEB服务器或域。值是域名，比如zdnet.com。这是对path路径属性的一个延伸。如果我们想让 catalog.mycompany.com 能够访问shoppingcart.mycompany.com设置的cookies，该怎么办? 我们可以把domain属性设置成“mycompany.com”，并把path属性设置成“/”。FYI：不能把cookies域属性设置成与设置它的服务器的所在域不同的值。

 

Secure – 安全。指定cookie的值通过网络如何在用户和WEB服务器之间传递。这个属性的值或者是“secure”，或者为空。缺省情况下，该属性为空，也就是使用不安全的HTTP连接传递数据。如果一个 cookie 标记为secure，那么，它与WEB服务器之间就通过HTTPS或者其它安全协议传递数据。不过，设置了secure属性不代表其他人不能看到你机器本地保存的cookie。换句话说，把cookie设置为secure，只保证cookie与WEB服务器之间的数据传输过程加密，而保存在本地的cookie文件并不加密。如果想让本地cookie也加密，得自己加密数据。

 

 

 

 

操纵Cookies

 

请记住，cookie就是文档的一个字符串属性。要保存cookie，只要建立一个字符串，格式是name=<value>（名称＝值），然后把文档的 document.cookie 设置成与它相等即可。比如，假设想保存表单接收到的用户名，那么代码看起来就象这样：

 

document.cookie = "username" +escape(form.username.value);

 

在这里，使用 escape() 函数非常重要，因为cookie值里可能包含分号、逗号或者空格。这就是说，在读取cookie值时，必须使用对应的unescape()函数给值解码。

 

我们当然还得介绍cookie的四个属性。这些属性用下面的格式加到字符串值后面：

 

name=<value>[;expires=<date>][; domain=<domain>][; path=<path>][; secure]

 

名称=<值>[; expires=<日期>][; domain=<域>][; path=<路径>][; 安全]

 

<value>, <date>, <domain>和 <path> 应当用对应的值替换。<date> 应当使用GMT格式，可以使用Javascript脚本语言的日期类Date的.toGMTString() 方法得到这一GMT格式的日期值。方括号代表这项是可选的。比如在 [; secure]两边的方括号代表要想把cookie设置成安全的，就需要把"; secure" 加到cookie字符串值的后面。如果"; secure" 没有加到cookie字符串后面，那么这个cookie就是不安全的。不要把尖括号<> 和方括号[] 加到cookie里（除非它们是某些值的内容）。设置属性时，不限属性，可以用任何顺序设置。

 

下面是一个例子，在这个例子里，cookie "username" 被设置成在15分钟之后过期，可以被服务器上的所有目录访问，可以被"mydomain.com"域里的所有服务器访问，安全状态为安全。

 

// Date() 的构造器设置以毫秒为单位

// .getTime() 方法返回时间，单位为毫秒

// 所以要设置15分钟到期，要用60000毫秒乘15分钟

var expiration = new Date((newDate()).getTime() + 15 * 60000);

document.cookie = "username=" +escape(form.username.value)+ "; expires ="

+ expiration.toGMTString() + ";path=" + "/" + "; _

domain=" + "mydomain.com" +"; secure";

 

读取cookies值有点象个小把戏，因为你一次就得到了属于当前文档的所有cookies。

 

// 下面这个语句读取了属于当前文档的所有cookies

var allcookies = document.cookie;

 

现在，我们得解析allcookies变量里的不同cookies，找到感兴趣的指定cookie。这个工作很简单，因为我们可以利用Javascript语言提供的扩展字符串支持。

 

如果我们对前面分配的cookie "username" 感兴趣，可以用下面的脚本来读取它的值。

 

// 我们定义一个函数，用来读取特定的cookie值。

function getCookie(cookie_name)

｛

var allcookies = document.cookie;

var cookie_pos =allcookies.indexOf(cookie_name);

 

// 如果找到了索引，就代表cookie存在，

// 反之，就说明不存在。

if (cookie_pos != -1)

｛

// 把cookie_pos放在值的开始，只要给值加1即可。

cookie_pos += cookie_name.length + 1;

var cookie_end =allcookies.indexOf(";", cookie_pos);

 

if (cookie_end == -1)

｛

cookie_end = allcookies.length;

｝

 

var value =unescape(allcookies.substring(cookie_pos, cookie_end));

｝

 

return value;

｝

 

// 调用函数

var cookie_val =getCookie("username");

 

上面例程里的 cookie_val 变量可以用来生成动态内容，或者发送给服务器端CGI脚本进行处理。现在你知道了使用Javascript脚本操纵cookies的基本方法。但是，如果你跟我一样，那么我们要做的第一件事，就是建立一些接口函数，把cookies处理上的麻烦隐藏起来。不过，在你开始编程之前，稍候片刻。这些工作，早就有人替你做好了。你要做的，只是到哪去找这些接口函数而已。

 

比如，在David Flangan的Javascript: The Definitive Guide 3rd Ed.这本书里，可以找到很好的cookie应用类。你也可以在Oreilly的WEB站点上找到这本书里的例子。本文最后的链接列表里，有一些访问这些cookie示例的直接链接。

 

 

 

Cookies 怪兽

 

因为某些原因Cookies 的名声很不好。许多人利用cookies做一些卑鄙的事情，比如流量分析、点击跟踪。Cookies 也不是非常安全，特别是没有secure属性的cookies。不过，即使你用了安全的cookies，如果你和别人共用计算机，比如在网吧，那么别人就可以窥探计算机硬盘上未加密保存的cookie文件，也就有可能窃取你的敏感信息。所以，如果你是一个WEB开发人员，那么你要认真考虑这些问题。不要滥用cookies。不要把用户可能认为是敏感的数据保存在cookies里。如果把用户的社会保险号、信用卡号等保存在cookie里，等于把这些敏感信息放在窗户纸下，无异于把用户投到极大危险之中。一个好的原则是，如果你不想陌生人了解你的这些信息，那就不要把它们保存在cookies里。

 

另外，cookies还有一些实际的限制。Cookies保留在计算机上，不跟着用户走。如果用户想换计算机，那么新计算机无法得到原来的cookie。甚至用户在同一台计算机上使用不同浏览器，也得不到原来的cookie：Netscape 不能读取Internet Explorer 的cookies。

 

还有，用户也不愿意接受cookies。所以不要以为所有的浏览器都能接受你发出的cookies。如果浏览器不接受cookies，你要保证自己的WEB站点不致因此而崩溃或中断。

 

另外WEB 浏览器能保留的cookies不一定能超过300个。也没有标准规定浏览器什么时候、怎么样作废cookies。所以达到限制时，浏览器能够有效地随机删除cookies。浏览器保留的来自一个WEB服务器上的cookies，不超过20个，每个cookie的数据（包括名称和值），不超过4K字节。(不过，本文里的cookie尺寸没问题，它只占了12 K字节，保存在3个3 cookies里。)

 

简而言之，注意保持cookie简单。不要依赖cookies的存在，不要在每个cookie里保存太多信息。不要保存太多的cookes。但是，抛除这些限制，在技巧高超的WEB管理员手里，cookie的概念是一个有用的工具。

 

外部链接

每个 Javascript 程序员都应当有一份Javascript： David Flanagan 的The Definitive Guide。这本书里找到cookie 类例程可以帮助你把不止一个变量编码到单一的cookie，克服掉“每个WEB服务器20 个cookies的限制”。请点击这个链接下载该例程，ftp://ftp.oreilly.com/pub/examples/nutshell/javascript/。