Cookie知识总结

主要用途：目前Cookies 最广泛的是记录用户登录信息，这样下次访问时可以不需要输入自己的用户名、密码了——当然这种方便也存在用户信息泄密的问题，尤其在多个用户共用一台电脑时很容易出现这样的问题。

生存周期：Cookie可以保持登录信息到用户下次与服务器的会话，换句话说，下次访问同一网站时，用户会发现不必输入用户名和密码就已经登录了（当然，不排除用户手工删除Cookie）。而还有一些Cookie在用户退出会话的时候就被删除了，这样可以有效保护个人隐私。
Cookie在生成时就会被指定一个Expire值，这就是Cookie的生存周期，在这个周期内Cookie有效，超出周期Cookie就会被清除。有些页面将Cookie的生存周期设置为“0”或负值，这样在关闭浏览器时，就马上清除Cookie，不会记录用户信息，更加安全。

识别功能：如果在一台计算机中安装多个浏览器，每个浏览器都会在各自独立的空间存放cookie。因为cookie中不但可以确认用户，还能包含计算机和浏览器的信息，所以一个用户用不同的浏览器登录或者用不同的计算机登录，都会得到不同的cookie信息，另一方面，对于在同一台计算机上使用同一浏览器的多用户群，cookie不会区分他们的身份，除非他们使用不同的用户名登录。

脚本攻击：通常 跨站点脚本攻击（Cross site scripting）往往利用网站漏洞在网站页面中植入脚本代码或网站页面引用第三方法脚本代码，均存在跨站点脚本攻击的可能，在受到跨站点脚本攻击时，脚本指令将会读取当前站点的所有 Cookie 内容（已不存在 Cookie 作用域限制），然后通过某种方式将 Cookie 内容提交到指定的服务器（如：AJAX）。

建议开发人员在向客户端 Cookie 输出敏感的内容时（譬如：该内容能识别用户身份）：

1）设置该 Cookie 不能被脚本读取，这样在一定程度上解决上述问题。
2）对 Cookie 内容进行加密，在加密前嵌入时间戳，保证每次加密后的密文都不一样（并且可以防止消息重放）。
3）客户端请求时，每次或定时更新 Cookie 内容（即：基于第2小条，重新加密）
4）每次向 Cookie 写入时间戳，数据库需要记录最后一次时间戳（防止 Cookie 篡改，或重放攻击）。
5）客户端提交 Cookie 时，先解密然后校验时间戳，时间戳若小于数据数据库中记录，即意味发生攻击。

Cookie相关操作：
创建和存储cookie：

<script>//创建和存储cookie信息function addCookie(name,value,expiredays){    var expire = new Date();    expireDate.setDate(expire.getDate()+expiredays);    document.cookie = name+"="+escape(value)+((expiredays==null)?"":";expires"+=expireDate.toGMTString());</script>

检查是否已经设置名为name的cookie，并返回该cookie的值：

<script>function getCookie(name){    if (document.cookie.length>0)    {      start = document.cookie.indexOf(name + "=")      if (start!=-1)      {           start=start+ name.length+1           end=document.cookie.indexOf(";",start);          if (end==-1)               end=document.cookie.length;          return unescape(document.cookie.substring(start,end));      }     }    return ""}</script>

Jquery提供方便方法操作cookie :

    $.cookie('the_cookie', 'the_value'); // 获得cookie    $.cookie('the_cookie', 'the_value'); // 设置cookie      $.cookie('the_cookie', 'the_value', { expires: 7 }); //       设置带时间的cookie  7天    $.cookie('the_cookie', '', { expires: -1 }); // 删除    $.cookie('the_cookie', null); // 删除 cookie    设置cookie的名值对，有效期，路径，域，安全    $.cookie(’name’, ‘value’, {expires: 7, path: ‘/’, domain: ‘jquery.com’, secure: true});

注意：

chrome浏览器在本地获取不到cookie。必须在服务器上才可以。如果是本地的话，你可以放到local的www目录下面。

Google Chrome只支持在线网站的cookie的读写操作，对本地html的cookie操作是禁止的。所以下面的代码如果你写在一个本地的html文件中，将弹出的对话框内容为undefined。

document.cookie = “name=test”;
alert(document.cookie);

如果这个页面是在线网站的内容，则会正常显示cookie内容name=test等等。