本文面向对cookie有基本了解的读者,小白出门左转
设置cookie (http 响应头)
set-cookie: {name}={value};path={path};domain={domain};expires={expires},secure;httponly;
(多个cookie就发送多个set-cookie头)
发送cookie (http 请求头)
cookie: {name}={value};{name2}={value2} (多个cookie以;号隔开)
请求头格式比较简单,这里主要说下响应头
name cookie名称
value cookie值,部分语言会有子cookie实现,格式为 {key1}={value1}&{key2}={value2}
path cookie有效路径,不同语言默认策略不一样,部分语言默认/,部分语言默认当前页面所在目录
domain cookie有效域名,默认当前域名,二级域名可以访问主域名下的cookie(需要以.开头,如.aaa.com),三级域名可以访问二级域名下的cookie,以此类推。 如果当前访问的是www.aaa.com,而设置domain为www.bbb.com,则属于第三方cookie(下边详述)
expires cookie有效期,不设置默认当前session,浏览器关闭则cookie失效,如果expires时间早于浏览器时间,则cookie立即失效
secure 带上这个标识表示只有在https协议的请求中才发送此cookie
httponly 表示cookie只允许通过服务器修改,客户端js不允许修改
cookie跨域
主域名相同
如www.aaa.com和bla.aaa.com 设置cookie的domain为.aaa.com
主域名不同
如www.aaa.com和www.bbb.com 设置第三方cookie
第三方cookie
什么是第三方cookie?
访问www.aaa.com的时候设置了一个domain=www.bbb.com的cookie,对于www.aaa.com来说,这个cookie就是第三方的
哪些场景需要第三方cookie?
比如,两个不同域名的网站做sso,如www.tmall.com和www.taobao.com,www.sina.com和www.weibo.com
比如,广告服务商追踪用户行为,根据用户浏览记录给用户推荐更符合胃口的广告(这里存在隐私泄漏风险,因为广告服务商可以获取用户的浏览记录)
怎么做?
以广告追踪为例子,www.ccc.com是个广告服务供应商,www.aaa.com和www.bbb.com想接入它的广告
www.aaa.com和www.bbb.com在所有页面上加一行代码:
www.ccc.com在ads.aspx页面上种下一个domain=www.ccc.com的cookie,这样www.aaa.com和www.bbb.com的所有页面在打开的时候都会给www.ccc.com发送一个带cookie的请求,www.ccc.com拿到这个cookie后就可以区分用户了,然后通过referer拿到用户正在浏览的页面地址,就可以掌握用户的浏览行为了
由上可见,如果一个广告服务商接入的客户足够多,就可以掌握一个用户大多数的浏览行为,因为这个用户浏览的大多数网站可能都是这个服务商的客户,而且他们共用一个cookie
浏览器设置
浏览器 默认设置是否支持第三方cookie dnt设置 如何阻止第三方cookie
chrome 是 设置-随浏览器一起发送不跟踪请求 设置-内容设置-阻止第三方cookie和网站数据
firefox 是 选项-隐私-要求此网站不要跟踪您 选项-隐私-使用自定义历史记录设置-接受第三方cookie-总不
ie 需要额外的p3p响应头 选项-高级-向你在ie中访问的站点发送do not track请求 选项-隐私-高级-替代自动cookie处理-第三方cookie-阻止
ie的默认安全性等级为中,将阻止没有精简隐私策略的第三方cookie,具体p3p协议详情,请参考http://www.w3.org/p3p/。这里给个p3p的例子:
p3p:cp=cura adma deva psao psdo our bus uni pur int dem sta pre com nav otc noi dsp cor
dnt设置后,请求头中会加上 dnt:1,如果网站遵守dnt协议,就不再种第三方cookie了,但也可以耍赖不遵守,全看素质
如果用户设置阻止第三方cookie了,那对不起,所有第三方cookie就无效了
cookie安全
由于cookie记录了用户的身份,因此成为攻击者的热门攻击对象,开发者稍有疏忽,就可能节操不保
这里列举下可能的攻击方式,详情请自行百度之,总之不要相信cookie,不要放未加密的敏感信息到cookie中,cookie在使用前要校验,合理使用secure和httponly,由于第三方cookie的存在,敏感的操作需要验证,不要相信正在操作的人就是当前登录的用户
xss,反射型xss,session劫持,csrf攻击
第三方cookie代码实例(asp.net)
www.ccc.com是广告服务提供商,www.aaa.com和www.bbb.com接入它的广告
修改host
127.0.0.1 www.aaa.com www.bbb.com www.ccc.com
www.ccc.com广告服务商ads.aspx代码
private static idictionary histories = new dictionary();
protected void page_load(object sender, eventargs e){ response.contenttype = text/javascript; //用户开启了浏览器不跟踪选项 if (!string.isnullorwhitespace(request.headers.get(dnt)) && int.parse(request.headers.get(dnt)) == 1) { response.write(@document.write('用户开启了浏览器do not track选项,我比较讲究,遵守这个约定,不跟踪你了,只能给你展示大众版的广告了');); return; } var uuid = request.cookies[uuid]; //种第三方cookie if (uuid == null) { uuid = new httpcookie(uuid) { value = guid.newguid().tostring(), domain = www.ccc.com, expires = datetime.now.addyears(70), }; response.cookies.add(uuid); //使用p3p协议提高cookie种上的概率 response.headers.add(p3p, cp=\cura adma deva psao psdo our bus uni pur int dem sta pre com nav otc noi dsp cor\); } //获取用户正在浏览的网址 var referer = request.headers.get(referer); //记录用户访问历史 if (!histories.containskey(uuid.value)) { histories[uuid.value] = new list(); } histories[uuid.value].add(datetime.now + : + referer); response.write(@document.write('
blabla这里是根据你浏览的网址给你推荐最合适的广告'+ ',不要问我怎么知道哪个网址有什么内容,也不要问我怎么知道哪些广告最适合你,我会告诉你我有高大上的算法嘛
');); response.write(@document.write('下边是你的浏览记录(不好意思,我看到了羞羞的东东):
');); foreach (string history in histories[uuid.value]) { response.write(document.write(' + history +
');); }}
www.aaa.com和www.bbb.com页面代码
打开www.aaa.com和www.bbb.com页面
异类 falsh cookie
这货太变态,不在本文讨论范围内,有兴趣的可以自行百度之
总而言之就一句话,cookie能干的它能干,cookie不能干的它也能干,当然cookie没有的问题它也有了