由于HTTP是无状态连接,这简化了服务器的设计,为了把服务器内容和用户联系起来,HTTP使用了Cookie技术,允许站点对用户进行跟踪。但是这种方式存在一定安全隐患,我们在此进行简要探讨。
定义:某些网站为了辨别用户身份,进行session跟踪而存储在用户本地终端上的数据(通常经过加密),例如我们的商场购物车,身份认证等。
例如:
客户端主机通过普通HTTP请求报文,发送给服务器主机,并且浏览了响应的一些页面信息,或者是把商品加入了本地购物车。
此时,服务器主机为用户创建了ID(XXXX),且通过普通HTTP响应报文Set-cookie:XXXX发送给客户主机。
客户主机再通过带有cookie的普通HTTP请求报文访问服务器主机。并且留下痕迹。cookie通过特定动作访问后端数据库。
后端数据库再把带有需求的cookie信息发送给客户主机。即完成一次带有cookie的通信。
一段时间后,当你再访问上次的服务器时候,普通HTTP请求报文自带上次的cookie信息,然后通过特殊方式在此访问后端数据库。
同时后端数据库给你上次的信息。鉴于此来实现cookie的功能。从实际中我们看到,cookie可以表示一个用户。用户在访问一个站点时候,可能需要提供一个用户标识。在后续的操作中,浏览器向服务器传递一个cookie首部,从而服务器表示了用户。因此cookie可以在无状态上建立一个会话层。
cookie的属性
一般cookie所具有的属性,包括:
Domain:域,表示当前cookie所属于哪个域或子域下面。
对于服务器返回的Set-Cookie中,如果没有指定Domain的值,那么其Domain的值是默认为当前所提交的http的请求所对应的主域名的。比如访问 http://www.example.com,返回一个cookie,没有指名domain值,那么其为值为默认的www.example.com。
Path:表示cookie的所属路径。
Expire time/Max-age:表示了cookie的有效期。expire的值,是一个时间,过了这个时间,该cookie就失效了。或者是用max-age指定当前cookie是在多长时间之后而失效。如果服务器返回的一个cookie,没有指定其expire time,那么表明此cookie有效期只是当前的session,即是session cookie,当前session会话结束后,就过期了。对应的,当关闭(浏览器中)该页面的时候,此cookie就应该被浏览器所删除了。
secure:表示该cookie只能用https传输。一般用于包含认证信息的cookie,要求传输此cookie的时候,必须用https传输。
httponly:表示此cookie必须用于http或https传输。这意味着,浏览器脚本,比如javascript中,是不允许访问操作此cookie的。
安全性问题:
尽管cookie常常简化了用户的因特网的某些活动,但是一些场合或者是使用方式被认为是对用户的隐私一种侵害。例如结合cookie和用户提供的账户信息,WEb站可以知道需要用户的信息,并且可能因此将信息出卖给他人。
一些别有用心的人不需要知道这个cookie的具体含义,只需要将这个cookie向服务器提交(模拟身份验证),身份验证通过之后,就可以冒充被窃取cookie对应用户来访问网站,甚至获取到用户的隐私信息,对于用户的隐私造成非常严重的危害,这种方式就叫做cookie欺骗。
并且,cookie以纯文本的形式在浏览器和服务器之间传递,在web通信时极容易被非法用户截获和利用。非法用户截获cookie后,在cookie的有效时间内重新发放给服务器,那么这个非法用户就拥有了这个合法用户的所有权限。
因此啊,我们设置cookie有效期不要过长,在允许使用https的情况下尽量使用,或者说session和cookie同时使用。
对于http和https的相关信息会在http中专门探讨。这里不做具体细说。
