“黑客”入门学习之“Cookie技术详解”

也称为内存cookie或者瞬时cookie，只存在用户浏览站点时的内存中。当用户关闭浏览器时，浏览器通常会删除session cookies。不像其他cookies，session cookies没有分配过期时间，作为session cookie浏览器会自己管理它。

2. 持久性cookie

不像session cookie在浏览器关闭时就会过期那样，持久性cookie是到一个特定日期过期或者过来一段时间过期。这就意味着，在cookie的整个生命周期(创建cookie时可以指定其生命周期)，每次用户访问cookie所属站点时，或者每次用户在其他站点访问cookie所属站点的资源(例如广告)时，cookie所携带的信息都会被发送到服务端。

由于这个原因，持久性cookie有时被称为追踪cookie，因为广告系统可以利用它记录用户在一段时间内的网页浏览习惯信息。当然，使用它也有一些"正当"理由，例如保持用户的登录状态，避免每次访问的再次登录。

如果过期时间到了，或者用户手动删除了，这种cookie会被重置。

3. 安全cookie

安全cookie只能通过安全连接传输(例如，https)。不能通过非安全连接传输(例如，http)。这样就不太可能被窃取。在cookie中设置一个Secure标志就可以创建安全cookie。

4. HttpOnly cookie

HttpOnly cookie不能通过客户端api获取到。这种限制减少了通过(XSS)窃取cookie的风险。然而这种cookie也会受到跨站追踪和跨站请求伪造攻击。在cookie中添加HttpOnly可以创建这种cookie。

5. SameSite cookie

chrome51版本引入的一种新类型cookie，只有请求和站点是同源的，才会发送cookie到服务器。这种限制可以缓解攻击，例如跨站请求伪造攻击。在cookie中设置SameSite标识可以创建这种类型的cookie。

6. 第三方cookie

正常情况下，cookie的域属性和浏览器地址栏里显示的域是相同的。这种cookie称为第一方cookie。然而第三方cookie不属于浏览器地址栏显示的域中。这种cookie通常出现在web页面有外部站点内容时的情况中，例如广告系统。这就提供了一个潜在的能力来追踪用户的浏览历史，广告系统通常会利用这个来给每个用户推荐相关的广告信息。

例如，假设用户访问了www.example.com，这个站点包含ad.foxytracking.com的广告，当这个广告加载时，会设置一个属于广告所在域(ad.foxytracking.com)的cookie。然后用户访问另一个站点，www.foo.com，这个站点也包含来自ad.foxytracking.com的广告，这个广告也会设置一个属于ad.foxytracking.com域的cookie。最终，所有这些cookie会发送给广告主，当用户加载他们的广告或者访问他们的网站时。然后广告主就可以利用这些cookie统计出用户的浏览记录，当然浏览记录里面的站点必须要包含广告主的广告。也就是广告主可以利用这些cookie知道你访问了那些包含他们广告的站点。

7. Supercookie

supercookie是来自于顶级域名(例如.com)或者有公共后缀(例如.co.uk)的cookie。普通cookie是来自于一个特定域名，例如example.com。

（编辑：网站开发网_安阳站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!