cookies是什么意思？cookies中文名稱為小型文本文件，指某些網(wǎng)站為了辨別用戶身份而儲存在用戶本地終端（Client Side）上的數(shù)據(jù)（通常經(jīng)過加密）。它滿足RFC6265標(biāo)準(zhǔn)。

簡介

關(guān)于為何取名為cookie有多種說法。有人說cookie可能源自海外中國餐館在客人用完餐離開前向客人所贈“幸運(yùn)小餅干”，里面都有一張小字條，印有一張讓客人開心一笑的吉祥話，有的還煞有其事的描繪客人的個性特點(diǎn)，為客人卜算前程。想必這也算個人化的信息吧。然而許多人懷疑這種“幸運(yùn)小餅干”給網(wǎng)上用戶帶來的未必是好運(yùn)，因?yàn)樗�窺探用戶的隱私使人如芒在背，感到不安。如果你想知道你電腦中的“小餅干”記錄了你哪些資料，不妨打開你的電腦硬盤瀏覽器目錄中的“小餅干”文件看一下。

Cookies一詞用在程序設(shè)計(jì)中是一種能夠讓網(wǎng)站服務(wù)器把少量數(shù)據(jù)儲存到客戶端的硬盤或內(nèi)存，或是從客戶端的硬盤讀取數(shù)據(jù)的一種技術(shù)。從本質(zhì)上講，它可以看作是你的身份證。保存的信息片斷以"名/值"對（name-value pairs）的形式儲存，一個"名/值"對僅僅是一條命名的數(shù)據(jù)。

一個網(wǎng)站只能取得它放在你的電腦中的信息，它無法從其它的Cookies文件中取得信息，也無法得到你的電腦上的其它任何東西。 Cookies中的內(nèi)容大多數(shù)經(jīng)過了加密處理，因此一般用戶看來只是一些毫無意義的字母數(shù)字組合，只有服務(wù)器的CGI處理程序才知道它們真正的含義。

由于Cookies是我們?yōu)g覽的網(wǎng)站傳輸?shù)接脩粲?jì)算機(jī)硬盤中的文本文件或內(nèi)存中的數(shù)據(jù)，因此它在硬盤中存放的位置與使用的操作系統(tǒng)和瀏覽器密切相關(guān)。在Windows 9X系統(tǒng)計(jì)算機(jī)中，Cookies文件的存放位置為C:/Windows/Cookies，在Windows NT/2000/XP的計(jì)算機(jī)中，Cookies文件的存放位置為C:/Documents and Settings/用戶名/Cookies，在Windows Vista/7的計(jì)算機(jī)中，Cookies文件的存放位置為C:\Users\user\AppData\Roaming\Microsoft\Windows\Cookies\Low。

硬盤中的Cookies文件可以被Web瀏覽器讀取，它的命名格式為：用戶名@網(wǎng)站地址[數(shù)字].txt。如計(jì)算機(jī)中的一個Cookies文件名為：ch@163[1].txt。要注意的是：硬盤中的Cookies屬于文本文件，不是程序。

你可以在IE的"工具/Internet選項(xiàng)"的"常規(guī)"選項(xiàng)卡中，選擇"設(shè)置/查看文件"，查看所有保存到你電腦里的Cookies。這些文件通常是以user@domain格式命名的，user是你的本地用戶名，domain是所訪問的網(wǎng)站的域名。如果你使用NetsCape瀏覽器，則存放在"C:/PROGRAMFILES/NETS- CAPE/USERS/"里面，與IE不同的是，NETSCAPE是使用一個Cookie文件記錄所有網(wǎng)站的Cookies。

我們可對Cookie進(jìn)行適當(dāng)設(shè)置：打開"工具/Internet選項(xiàng)"中的"隱私"選項(xiàng)卡（注意該設(shè)置只在IE6.0中存在，其他版本IE可以單擊"工具/Internet選項(xiàng)" "安全"標(biāo)簽中的"自定義級別"按鈕，進(jìn)行簡單調(diào)整），調(diào)整Cookie的安全級別。通常情況，可以調(diào)整到"中高"或者"高"的位置。多數(shù)的論壇站點(diǎn)需要使用Cookie信息，如果你從來不去這些地方，可以將安全級調(diào)到"阻止所有Cookies";如果只是為了禁止個別網(wǎng)站的Cookie，可以單擊"編輯"按鈕，將要屏蔽的網(wǎng)站添加到列表中。在"高級"按鈕選項(xiàng)中，你可以對第一方Cookie和第三方的Cookie進(jìn)行設(shè)置，第一方Cookie是你正在瀏覽的網(wǎng)站的Cookie，第三方Cookie是非正在瀏覽的網(wǎng)站發(fā)給你的Cookie，通常要對第三方Cookie選擇"拒絕"。你如果需要保存Cookie，可以使用IE的"導(dǎo)入導(dǎo)出"功能，打開"文件/導(dǎo)入導(dǎo)出"，按提示操作即可。

寫入與讀取

Cookies集合是附屬于Response對象及Request對象的數(shù)據(jù)集合，使用時(shí)需要在前面加上Response或Request。

用于給客戶機(jī)發(fā)送Cookies的語法通常為：

當(dāng)給不存在的Cookies集合設(shè)置時(shí)，就會在客戶機(jī)創(chuàng)建，如果該Cookies己存在，則會被代替。由于Cookies是作為HTTP傳輸?shù)念^信息的一部分發(fā)給客戶機(jī)的，所以向客戶機(jī)發(fā)送Cookies的代碼一般放在發(fā)送給瀏覽器的HTML文件的標(biāo)記之前。

如果用戶要讀取Cookies，則必須使用Request對象的Cookies集合，其使用方法是： 需要注意的是，只有在服務(wù)器未被下載任何數(shù)據(jù)給瀏覽器前，瀏覽器才能與Server進(jìn)行Cookies集合的數(shù)據(jù)交換，一旦瀏覽器開始接收Server所下載的數(shù)據(jù)，Cookies的數(shù)據(jù)交換則停止，為了避免錯誤，要在程序和前面加上response.Buffer=True。

應(yīng)用

幾乎所有的網(wǎng)站設(shè)計(jì)者在進(jìn)行網(wǎng)站設(shè)計(jì)時(shí)都使用了Cookie，因?yàn)樗麄兌枷虢o瀏覽網(wǎng)站的用戶提供一個更友好的、人文化的瀏覽環(huán)境，同時(shí)也能更加準(zhǔn)確地收集訪問者的信息。

網(wǎng)站瀏覽人數(shù)管理

由于代理服務(wù)器、緩存等的使用，能幫助網(wǎng)站精確統(tǒng)計(jì)來訪人數(shù)的方法就是為每個訪問者建立一個的ID。使用Cookie，網(wǎng)站可以完成以下工作：測定多少人訪問過；測定訪問者中有多少是新用戶（即第一次來訪），多少是老用戶；測定一個用戶多久訪問一次網(wǎng)站。

通常情況下，網(wǎng)站設(shè)計(jì)者是借助后臺數(shù)據(jù)庫來實(shí)現(xiàn)以上目的的。當(dāng)用戶第一次訪問該網(wǎng)站時(shí)，網(wǎng)站在數(shù)據(jù)庫中建立一個新的ID，并把ID通過Cookie傳送給用戶。用戶再次來訪時(shí)，網(wǎng)站把該用戶ID對應(yīng)的計(jì)數(shù)器加1，得到用戶的來訪次數(shù)或判斷用戶是新用戶還是老用戶。

按照用戶的喜好定制網(wǎng)頁外觀

有的網(wǎng)站設(shè)計(jì)者，為用戶提供了改變網(wǎng)頁內(nèi)容、布局和顏色的權(quán)力，允許用戶輸入自己的信息，然后通過這些信息對網(wǎng)站的一些參數(shù)進(jìn)行修改，以定制網(wǎng)頁的外觀。

在電子商務(wù)站點(diǎn)中實(shí)現(xiàn)諸如"購物籃"等功能

可以使用Cookie記錄用戶的ID，這樣當(dāng)你往"購物籃"中放了新東西時(shí)，網(wǎng)站就能記錄下來，并在網(wǎng)站的數(shù)據(jù)庫里對應(yīng)著你的ID記錄當(dāng)你"買單"時(shí)，網(wǎng)站通過ID檢索數(shù)據(jù)庫中你的所有選擇就能知道你的"購物籃"里有些什么。

在一般的事例中，網(wǎng)站的數(shù)據(jù)庫能夠保存的有你所選擇的內(nèi)容、你瀏覽過的網(wǎng)頁、你在表單里填寫的信息等；而包含有你的ID的Cookie則保存在你的電腦里。

缺陷

Cookie雖然被廣泛的應(yīng)用，并能做到一些使用其它技術(shù)不可能實(shí)現(xiàn)的功能。但也存在一些不夠完美的方面，給應(yīng)用帶來不便。

多人共用一臺電腦的問題

任何公共場合的電腦或者許多在辦公室或家里使用的電腦，都會同時(shí)被兩個以上的人使用。這樣，當(dāng)你用它在網(wǎng)上超市購物時(shí)，網(wǎng)上超市或網(wǎng)站會在這臺機(jī)器上留下一個Cookie，將來也許就會有某個人試圖使用你的賬戶購物，帶來了不安全的可能。當(dāng)然，在一些使用多用戶操作系統(tǒng)如Windows NT或UNIX的電腦上，這并不會成為一個問題。因?yàn)樵诙嘤脩舨僮飨到y(tǒng)下不同的賬戶的Cookie分別放在不同的地方。

Cookies被刪除時(shí)

假如你的瀏覽器不能正常工作，你可能會刪除電腦上所有的臨時(shí)Internet文件。然而，一旦這樣操作以后，你就會丟掉所有的Cookies文件。當(dāng)你再次訪問一個網(wǎng)站時(shí)，網(wǎng)站會認(rèn)為你是一位新用戶并分配給你一個新的用戶ID以及一個新的Cookie。結(jié)果將會造成網(wǎng)站統(tǒng)計(jì)的新老用戶比發(fā)生偏差，而你也難以恢復(fù)過去保存的參數(shù)選擇。

一人使用多臺電腦時(shí)

有的人一天之中經(jīng)常使用一臺以上的電腦。例如在辦公室里有一臺電腦、家里有一臺、還有移動辦公用的筆記本電腦。除非網(wǎng)站使用了特別的技術(shù)來解決這一問題，否則，你將會有三個不同的Cookies文件在這三臺機(jī)器上，而在三臺機(jī)器上訪問過的任何網(wǎng)站都將會把你看成三個不同的用戶。

防范泄密

想知道你訪問的網(wǎng)站是否在你的硬盤或內(nèi)存中寫入了Cookies信息，只需執(zhí)行下面的操作步驟，就可以了解和控制你正在訪問的網(wǎng)站的Cookies信息。

步驟一：點(diǎn)擊IE窗口中的"工具" "Internet選項(xiàng)"，打開"Internet選項(xiàng)"設(shè)置窗口；

步驟二：點(diǎn)擊"Internet選項(xiàng)"設(shè)置窗口中的"安全"標(biāo)簽，然后再點(diǎn)擊"自定義級別"按鈕，進(jìn)入"安全設(shè)置"窗口；

步驟三： 找到"安全設(shè)置"窗口中的"Cookies"設(shè)置項(xiàng)。"Cookies"設(shè)置項(xiàng)下有兩個分選項(xiàng)，其中"允許使用存儲在您計(jì)算機(jī)上的Cookies"是針對存儲在用戶計(jì)算機(jī)硬盤中的Cookies文件；"允許使用每個對話Cookies（未存儲）"是針對存儲在用戶計(jì)算機(jī)內(nèi)存中的Cookies信息。存儲在硬盤中的Cookies文件是永久存在的，而存儲在內(nèi)存中的Cookies信息是臨時(shí)的。要想IE在即將接收來自Web站點(diǎn)的所有Cookies時(shí)進(jìn)行提示，可分別選擇上面兩個分選項(xiàng)中的"提示"項(xiàng)。當(dāng)然，你也可以選擇"啟用"，允許IE接受所有的Cookies信息（這也是IE的默認(rèn)選項(xiàng)）；選擇"禁止"，則是不允許Web站點(diǎn)將Cookies存儲到您的計(jì)算機(jī)上，而且Web站點(diǎn)也不能讀取你計(jì)算機(jī)中已有的Cookies。

IE6.0提供了更為可靠的個人隱私及安全保護(hù)措施，可以讓用戶來控制瀏覽器向外發(fā)送信息的多少。在"Internet 選項(xiàng)"窗口中新增了"隱私"選項(xiàng)卡，用戶可以在其中直接設(shè)置瀏覽時(shí)的隱私級別，按需要控制其他站點(diǎn)對自己電腦所使用的Cookies。

如果我們正在瀏覽的站點(diǎn)使用了Cookie，那么在瀏覽器狀態(tài)欄中會有一個黃色驚嘆號的標(biāo)記，雙擊后可打開"隱私報(bào)告"對話框，用戶可以在其中查看具體的隱私策略，還可直接點(diǎn)擊"設(shè)置"按鈕后在上述"隱私"選項(xiàng)卡中調(diào)節(jié)安全隱私級別。

在"常規(guī)"選項(xiàng)卡中還增加了"刪除Cookies"按鈕，方便用戶直接清除本機(jī)上的Cookies。另外，在"工具" "選項(xiàng)" "高級"選項(xiàng)卡中也增加了一些進(jìn)一步提高安全性的選項(xiàng)（如關(guān)閉瀏覽器時(shí)清空Internet臨時(shí)文件）。其實(shí)，如何更好地保護(hù)個人隱私和安全是微軟下一代".NET"戰(zhàn)略軟件中的關(guān)鍵技術(shù)，IE6.0已經(jīng)嘗試著邁出了第一步。

另外，由于Cookies的信息并不都是以文件形式存放在計(jì)算機(jī)里，還有部分信息保存在內(nèi)存里。比如你在瀏覽網(wǎng)站的時(shí)候，Web服務(wù)器會自動在內(nèi)存中生成Cookie，當(dāng)你關(guān)閉IE瀏覽器的時(shí)候又自動把Cookie刪除，那樣上面介紹的兩種方法就起不了作用，我們需要借助注冊表編輯器來修改系統(tǒng)設(shè)置。要注意的是，修改注冊表前請作備份，以便出現(xiàn)問題后能順利恢復(fù)。

運(yùn)行Regedit，找到如下鍵值：HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Cache/Special Paths/Cookies，這是Cookies在內(nèi)存中的鍵值，把這個鍵值刪除。至此Cookies無論以什么形式存在，我們都不用再害怕了。

最后有必要說明的一點(diǎn)是：杜絕Cookies雖然可以增強(qiáng)你電腦的信息安全程度，但這樣做同樣會有一些弊端。比如在一些需要Cookies支持的網(wǎng)頁上，會發(fā)生一些莫名其妙的錯誤，典型的例子就是你以后不能使用某些網(wǎng)站的免費(fèi)信箱了。

欺騙

通過分析Cookie的格式，我們知道，最后兩項(xiàng)中分別是它的URL路徑和域名，服務(wù)器對Cookie的識別靠的就是這兩個參數(shù)。正常情況下，我們要瀏覽一個網(wǎng)站時(shí)輸入的URL便是它的域名，需要經(jīng)過域名管理系統(tǒng)DNS將其轉(zhuǎn)化為IP地址后進(jìn)行連接。若能在DNS上進(jìn)行一些設(shè)置，把目標(biāo)域名的IP地址對應(yīng)到其它站點(diǎn)上，我們便可以非法訪問目標(biāo)站點(diǎn)的Cookie了。

要進(jìn)行Cookies欺騙，其實(shí)很簡單。比如在Win9X下的安裝目錄下，有一名為hosts.sam的文件，以文本方式打開后會看到這樣的格式：

127.0.0.1localhost

經(jīng)過設(shè)置，便可以實(shí)現(xiàn)域名解析的本地化，只需將IP和域名依上面的格式添加到文件中并另存為hosts即可。hosts文件實(shí)際上可以看成一個本機(jī)的DNS系統(tǒng)，它可以負(fù)責(zé)把域名解釋成IP地址，它的優(yōu)先權(quán)比DNS服務(wù)器要高，它的具體實(shí)現(xiàn)是TCP/IP協(xié)議中的一部分。

總之，在某種程度上雖然可以實(shí)現(xiàn)Cookies的欺騙，給網(wǎng)絡(luò)應(yīng)用帶來不安全的因素，但Cookies文件本身并不會造成用戶隱私的泄露，也不會給黑客提供木馬程序的載體，只要合理使用，它們會給網(wǎng)站管理員進(jìn)行網(wǎng)站的維護(hù)和管理以及廣大用戶的使用都帶來便利。

集合的屬性

1.Expires屬性：此屬性用來給Cookies設(shè)置一個期限，在期限內(nèi)只要打開網(wǎng)頁就可以調(diào)用被保存的Cookies，如果過了此期限Cookies就自動被刪除。如：

設(shè)定Cookies的有效期到2004年4月1日，到時(shí)將自動刪除。如果一個Cookies沒有設(shè)定有效期，則其生命周期從打開瀏覽器開始，到關(guān)閉瀏覽器結(jié)束，每次運(yùn)行后生命周期將結(jié)束，下次運(yùn)行將重新開始。

2.Domain屬性：這個屬性定義了Cookies傳送數(shù)據(jù)的唯一性。

3.Path屬性：定義了Cookies只發(fā)給指定的路徑請求，如果Path屬性沒有被設(shè)置，則使用應(yīng)用軟件的缺省路徑。

4.Secure屬性：指定Cookies能否被用戶讀取。

5.Haskeys屬性：如果所請求的Cookies是一個具有多個鍵值的Cookies字典，則返回True，它是一個只讀屬性

偷竊和腳本攻擊

盡管cookies沒有病毒那么危險(xiǎn)，但它仍包含了一些敏感信息：用戶名，計(jì)算機(jī)名，使用的瀏覽器和曾經(jīng)訪問的網(wǎng)站。用戶不希望這些內(nèi)容泄漏出去，尤其是當(dāng)其中還包含有私人信息的時(shí)候。

這并非危言聳聽，一種名為Cross site scripting的工具可以達(dá)到此目的。在受到Cross site scripting攻擊時(shí)，cookie盜賊和cookie毒藥將竊取內(nèi)容。一旦cookie落入攻擊者手中，它將會重現(xiàn)其價(jià)值。

cookie盜賊：搜集用戶cookie并發(fā)給攻擊者的黑客。攻擊者將利用cookie信息通過合法手段進(jìn)入用戶帳戶。

cookie毒藥：利用安全機(jī)制，攻擊者加入代碼從而改寫cookie內(nèi)容，以便持續(xù)攻擊。

替代品

鑒于cookie的局限和反對者的聲音，有如下一些替代方法：

Brownie方案，是一項(xiàng)開放源代碼工程，由SourceForge發(fā)起。Brownie曾被用以共享在不同域中的接入，而cookies則被構(gòu)想成單一域中的接入。這項(xiàng)方案已經(jīng)停止開發(fā)。

P3P，用以讓用戶獲得更多控制個人隱私權(quán)利的協(xié)議。在瀏覽網(wǎng)站時(shí)，它類似于cookie。

在與服務(wù)器傳輸數(shù)據(jù)時(shí)，通過在地址后面添加唯一查詢串，讓服務(wù)器識別是否合法用戶，也可以避免使用cookie。