有声读物,盗墓笔记,择天记

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

PHP Cookie是什么

Cookie 是在 HTTP 協(xié)議下，服務(wù)器或腳本用來維護客戶端上信息的一種方式。Cookie 是由 web 服務(wù)器保存在用戶瀏覽器（客戶端）上的小文本文件，它可以包含有關(guān)用戶的信息。無論何時用戶鏈接到服務(wù)器，Web 站點都可以訪問 Cookie 信息。

創(chuàng)新互聯(lián)建站專注于巨鹿網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。熱誠為您提供巨鹿?fàn)I銷型網(wǎng)站建設(shè)，巨鹿網(wǎng)站制作、巨鹿網(wǎng)頁設(shè)計、巨鹿網(wǎng)站官網(wǎng)定制、微信平臺小程序開發(fā)服務(wù)，打造巨鹿網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供巨鹿網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

有些 Cookie 是臨時的，有些則是持續(xù)的。臨時的 Cookie 只在瀏覽器上保存一段規(guī)定的時間，一旦超過規(guī)定的時間，該 Cookie 就會被系統(tǒng)清除。

持續(xù)的 Cookie 則保存在用戶的 Cookie 文件中，下一次用戶返回時，仍然可以對它進行調(diào)用。在 Cookie 文件中保存 Cookie，有些用戶擔(dān)心 Cookie 中的用戶信息被一些別有用心的人竊取，而造成一定的損害。

其實，網(wǎng)站以外的用戶無法跨過網(wǎng)站來獲得 Cookie 信息。如果因為這種擔(dān)心而屏蔽 Cookie，肯定會因此拒絕訪問許多站點頁面。因為，當(dāng)今有許多 Web 站點開發(fā)人員使用 Cookie 技術(shù)，例如 Session 對象的使用就離不開 Cookie 的支持。

Cookie 的主要用途

服務(wù)器可以利用 Cookie 包含信息的任意性來篩選并維護這些信息，以判斷 HTTP 傳輸中的狀態(tài)。Cookie 最典型的應(yīng)用是判定注冊用戶是否已經(jīng)登錄網(wǎng)站，同時用戶可能也會得到提示，是否在下一次進入此網(wǎng)站時保留用戶信息以便簡化登錄手續(xù)，這些都是 Cookie 的功用。

另一個重要應(yīng)用場合就是商城類網(wǎng)站的“購物車”功能。用戶可能會在一段時間內(nèi)在同一家網(wǎng)站的不同頁面中選擇不同的商品，這些信息都會寫入 Cookie，以便在最后付款時提取信息。

Cookie 的生命周期

Cookie 可以保持登錄信息到用戶下次與服務(wù)器的會話，換句話說，下次訪問同一網(wǎng)站時，用戶會發(fā)現(xiàn)不必輸入用戶名和密碼就已經(jīng)登錄了（當(dāng)然，如果手動刪除 Cookie 就需要重新登陸了）。而還有一些 Cookie 在用戶退出會話的時候就被刪除了，這樣可以有效保護個人隱私。

Cookie 在生成時就會被指定一個 Expire 值，這就是 Cookie 的生存周期，在這個周期內(nèi) Cookie 有效，超出這個周期 Cookie 就會被清除。有些頁面將 Cookie 的生存周期設(shè)置為“0”或負值，這樣在關(guān)閉瀏覽器時，就會馬上清除 Cookie，不會記錄用戶信息，更加安全。

Cookie 的識別功能

如果在一臺計算機中安裝多個瀏覽器，每個瀏覽器都會在各自獨立的空間存放 Cookie。因為 Cookie 中不但可以確認(rèn)用戶，還能包含計算機和瀏覽器的信息，所以一個用戶用不同的瀏覽器登錄或者用不同的計算機登錄，都會得到不同的 Cookie 信息，另一方面，對于在同一臺計算機上使用同一瀏覽器的多個用戶，Cookie 不會區(qū)分他們的身份，除非他們使用不同的用戶名登錄。

腳本攻擊

盡管 Cookie 沒有病毒那么危險，但它仍包含了一些敏感信息，比如用戶名、計算機名等，使用的瀏覽器和曾經(jīng)訪問的網(wǎng)站。用戶不希望這些內(nèi)容泄漏出去，尤其是當(dāng)其中還包含有私人信息的時候。

這并非危言聳聽，一種名為跨站腳本攻擊（Cross site scripting）的方式就可以達到此目的。通?？缯灸_本攻擊往往利用網(wǎng)站漏洞在網(wǎng)站頁面中植入腳本代碼或網(wǎng)站頁面引用第三方法腳本代碼，均存在跨站腳本攻擊的可能，在受到跨站腳本攻擊時，腳本指令將會讀取當(dāng)前站點的所有 Cookie 內(nèi)容（已不存在 Cookie 作用域限制），然后通過某種方式將 Cookie 內(nèi)容提交到指定的服務(wù)器（如：AJAX）。一旦 Cookie 落入攻擊者手中，它將會重現(xiàn)其價值。

建議開發(fā)人員在向客戶端 Cookie 輸出敏感的內(nèi)容時，要注意以下幾點（譬如：該內(nèi)容能識別用戶身份）：

設(shè)置 Cookie 不能被腳本讀取，這樣在一定程度上可以解決上述問題；
對 Cookie 內(nèi)容進行加密，在加密前嵌入時間戳，保證每次加密后的密文都不一樣（并且可以防止消息重放）；
客戶端請求時，每次或定時更新 Cookie 內(nèi)容（即重新加密）；
每次向 Cookie 寫入時間戳，數(shù)據(jù)庫需要記錄最后一次時間戳（防止 Cookie 篡改，或重放攻擊）；
客戶端提交 Cookie 時，先解密然后校驗時間戳，時間戳若小于數(shù)據(jù)數(shù)據(jù)庫中記錄，即意味發(fā)生攻擊。

基于上述建議，即使 Cookie 被竊取，卻因 Cookie 被隨機更新，且內(nèi)容無規(guī)律性，攻擊者無法加以利用。另外利用了時間戳另一大好處就是防止 Cookie 篡改或重放。

當(dāng)前題目：PHP Cookie是什么
分享URL：http://m.fisionsoft.com.cn/article/dhsscge.html

新聞中心

Cookie 的主要用途

Cookie 的生命周期

Cookie 的識別功能

腳本攻擊

其他資訊