簡介
Cookie 爲 Web 應用程序保存用戶相關信息提供了一種有用的方法。例如,當用戶訪問您的站點時,您可以利用 Cookie 保存用戶首選項或其他信息,這樣,當用戶下次再訪問您的站點時,應用程序就可以檢索以前保存的信息。
本文概要介紹 Cookie 在 ASP.NET 應用程序中的應用,爲您展示在 ASP.NET 中應用 Cookie 的技術細節,例如編寫 Cookie、然後再讀取它們。同時,還將爲您介紹 Cookie 的各種特性和各種特殊情況,以及 ASP.NET 對 Cookie 的支持。
什麼是 Cookie?
Cookie 是一小段文本信息,伴隨着用戶請求和頁面在 Web 服務器和瀏覽器之間傳遞。用戶每次訪問站點時,Web 應用程序都可以讀取 Cookie 包含的信息。
假設在用戶請求訪問您的網站 www.contoso.com 上的某個頁面時,您的應用程序發送給該用戶的不僅僅是一個頁面,還有一個包含日期和時間的 Cookie。用戶的瀏覽器在獲得頁面的同時還得到了這個 Cookie,並且將它保存在用戶硬盤上的某個文件夾中。
以後,如果該用戶再次訪問您站點上的頁面,當該用戶輸入 URL 時,瀏覽器就會在本地硬盤上查找與該 URL 相關聯的 Cookie。如果該 Cookie 存在,瀏覽器就將它與頁面請求一起發送到您的站點,您的應用程序就能確定該用戶上一次訪問站點的日期和時間。您可以根據這些信息向用戶發送一條消息,也可以檢查過期時間或執行其他有用的功能。
Cookie 是與 Web 站點而不是與具體頁面關聯的,所以無論用戶請求瀏覽站點中的哪個頁面,瀏覽器和服務器都將交換 www.contoso.com 的 Cookie 信息。用戶訪問其他站點時,每個站點都可能會向用戶瀏覽器發送一個 Cookie,而瀏覽器會將所有這些Cookie 分別保存。
以上就是 Cookie 的基本工作原理。那麼,Cookie 有哪些用途呢?最根本的用途是 Cookie 能夠幫助 Web 站點保存有關訪問者的信息。更概括地說,Cookie 是一種保持 Web 應用程序連續性(即執行“狀態管理”)的方法。瀏覽器和 Web 服務器除了在短暫的實際信息交換階段以外總是斷開的,而用戶向 Web 服務器發送的每個請求都是單獨處理的,與其他所有請求無關。然而在大多數情況下,都有必要讓 Web 服務器在您請求某個頁面時對您進行識別。例如,購物站點上的 Web 服務器跟蹤每個購物者,以便站點能夠管理購物車和其他的用戶相關信息。因此 Cookie 的作用就類似於名片,它提供了相關的標識信息,可以幫助應用程序確定如何繼續執行。
使用 Cookie 能夠達到多種目的,所有這些目的都是爲了使 Web 站點記住您。例如,一個實施民意測驗的站點可以簡單地利用 Cookie 作爲布爾值,表示您的瀏覽器是否已經參與了投票,從而避免您重複投票; 而那些要求用戶登錄的站點則可以通過 Cookie 來確定您是否已經登錄過,這樣您就不必每次都輸入憑據。
有關 Cookie 的更多背景信息,建議您閱讀 Verizon Web 站點中的“How Internet Cookies Work”一文,地址爲 http://www22.verizon.com/about/community/learningcenter/articles/displayartic
le1/0,4065,1022z1,00.html(英文)。其作者詳細解釋了什麼是 Cookie 以及Cookie 是如何在瀏覽器和服務器之間交換信息的,他還全面總結了 Cookie 涉及的隱私問題。
順便問一下,您是否想知道它們爲什麼被稱作“Cookie”?Jargon File(又稱爲“The New Hacker's Dictionary”)版本 4.3.3 對這一術語的詞源給出了準確的定義和合理的解釋。您可以在 http://www.catb.org/~esr/jargon/jargon.html#cookie(英文)找到相關的條目。
在此後的內容中,本文將假設您已經知道什麼是 Cookie,並且假設您已經清楚爲什麼要在 ASP.NET 應用程序中使用 Cookie。
Cookie 的限制
在開始討論 Cookie 的技術細節之前,我想先介紹一下 Cookie 應用的幾條限制。大多數瀏覽器支持最多可達 4096 字節的 Cookie,如果要將爲數不多的幾個值保存到用戶計算機上,這一空間已經足夠大,但您不能用一個 Cookie 來保存數據集或其他大量數據。在實際應用中,您可能並不希望在 Cookie 中保存大量的用戶信息,而只希望保存用戶編號或其他標識符。之後,當用戶再次訪問您的站點時,您就可以使用該用戶 ID 在數據庫中查找用戶的詳細信息。(有關保存用戶信息的說明,請參閱 Cookie 和安全性。)
瀏覽器還限制了您的站點可以在用戶計算機上保存的 Cookie 數。大多數瀏覽器只允許每個站點保存 20 個 Cookie。如果試圖保存更多的 Cookie,則最先保存的 Cookie 就會被刪除。還有些瀏覽器會對來自所有站點的 Cookie 總數作出限制,這個限制通常爲 300 個。
您最可能遇到的 Cookie 限制是:用戶可以設置自己的瀏覽器,拒絕接受 Cookie。您很難解決這個問題,除非完全不使用 Cookie 而是通過其他機制來保存用戶相關信息。保存用戶信息的一種常用方法是會話狀態,但會話狀態又依賴於 Cookie。這一點在後面的 Cookie 和會話狀態中闡述。
注意:有關狀態管理和 Web 應用程序中用於保存信息的選項的詳細信息,請參閱Introduction to Web Forms State(英文)和 State Management Recommendations(英文)。 更一般的經驗很可能是,儘管 Cookie 在應用程序中非常有用,應用程序也不應該依賴於能夠保存 Cookie。利用 Cookie 可以做到錦上添花,但不要利用它們來支持關鍵功能。如果您的應用程序必須使用 Cookie,則您可以通過測試來確定瀏覽器是否接受 Cookie。我在本文後面的檢查瀏覽器是否接受 Cookie 一節中簡單介紹了一種測試方法。
編寫 Cookie
您可以利用頁面的 Response(英文)屬性來編寫 Cookie,該屬性提供的對象使用戶可以將信息添加到由頁面向瀏覽器呈現的信息中。Response 對象支持一個名爲 Cookies(英文)的集合,您可以向其中添加要寫入瀏覽器的 Cookie。
注意:下面要討論的 Response 對象和 Request 對象分別是包含 HttpResponse(英文)和 HttpRequest(英文)類實例的頁面的屬性。要在文檔中查找 Response 和 Request 的信息,請參閱 HttpResponse 和 HttpRequest 下的內容。
在創建 Cookie 時,您需要指定幾個值。最初,您要指定 Cookie 的名稱和其中保存的值。您可以創建多個 Cookie,每個 Cookie 都必須具有唯一的名稱,以便日後讀取時識別。(Cookie 是按名稱保存的,所以如果您創建了兩個名稱相同的 Cookie,後保存的那一個將覆蓋前一個。)
您可能還希望指定 Cookie 的過期日期和時間。Cookie 一般都寫入到用戶的磁盤,然後可能一直都留在磁盤上。因此,您可以指定 Cookie 過期的日期和時間。當用戶再次訪問您的站點時,瀏覽器會先檢查您站點的 Cookie 集合,如果某個 Cookie 已經過期,瀏覽器不會把這個 Cookie 隨頁面請求一起發送給服務器,而是刪除這個已經過期的 Cookie。(您的站點可能已經在用戶計算機上寫入了多個 Cookie,每個 Cookie 都有各自的過期日期和時間。) 請注意,由瀏覽器負責管理硬盤上的 Cookie,這將影響您在應用程序中對 Cookie 的使用,我很快會介紹這方面的內容。
一個 Cookie 的有效期應爲多長?這取決於 Cookie 的用途,換句話說,取決於您的應用程序需要 Cookie 值保持有效的時間有多長。如果利用 Cookie 統計網站的訪問者,您可以把有效期設置爲 1 年,如果某個用戶已有一年時間未訪問您的站點,則可以把該用戶當作新的訪問者; 如果利用 Cookie 來保存用戶的首選項,則可以把其設置爲永遠有效(例如 50 年後到期),因爲定期重新設置首選項對用戶而言是比較麻煩的。有時,您可能需要編寫在數秒或數分鐘內即過期的 Cookie。在本文後面的檢查瀏覽器是否接受 Cookie 一節中,我列舉了一個示例,該示例中創建的 Cookie 的實際有效期就只有幾秒。
注意:不要忘記用戶隨時可以刪除自己計算機上的 Cookie,所以即使您保存了長期有效的 Cookie,用戶也可以自行決定將其全部刪除,同時清除保存在 Cookie 中的所有設置。
如果沒有設置 Cookie 的有效期,還是可以創建 Cookie,但它不會保存到用戶的硬盤上,而是會成爲用戶會話信息的一部分。如果用戶關閉瀏覽器或會話超時,該 Cookie 就會被刪除。這種非永久性的 Cookie 很適合用來保存只需短時間保存的信息,或者保存由於安全原因不應該寫入客戶計算機磁盤的信息。例如,如果用戶使用的是一臺公用計算機,而您不希望把 Cookie 寫入這種計算機的磁盤上,這時就可以使用非永久性的 Cookie。
您可以通過多種方法把 Cookie 添加到 Response.Cookies 集合中。以下示例介紹了兩種完成此任務的方法:
Response.Cookies("userName").Value = "mike"
Response.Cookies("userName").Expires = DateTime.Now.AddDays(1)
Dim aCookie As New HttpCookie("lastVisit")
aCookie.Value = DateTime.Now.ToString
aCookie.Expires = DateTime.Now.AddDays(1)
Response.Cookies.Add(aCookie)
該示例向 Cookies 集合中添加了兩個 Cookie,一個稱爲“userName”,另一個稱爲“lastVisit”。對於第一個 Cookie,我直接設置了 Response.Cookies 集合的值。您可以使用這種方法向集合中添加值,因爲 Response.Cookies 是從 NameObjectCollectionBase(英文)類型的特殊集合派生得到的。
對於第二個 Cookie,我創建了 Cookie 對象的一個實例(HttpCookie [英文] 類型),並設置了其屬性,然後通過 Add 方法把它添加到 Response.Cookies 集合。實例化 HttpCookie 對象時,您必須把 Cookie 名稱作爲構造函數的一部分進行傳遞。
這兩個示例完成了相同的任務,即向瀏覽器寫入一個 Cookie。您要採用哪種方法主要取決於您的個人喜好。您可能會發現第二種方法在設置 Cookie 屬性方面要稍微容易一些,但同時您也會注意到兩者的差別並不是很大。
在這兩種方法中,有效期值必須爲 DateTime 類型。而“lastVisited”值也是日期/時間值。但在這種情況下,我必須把日期/時間值轉換爲字符串,因爲 Cookie 中的任何值最終都是以字符串的形式保存的。
查看您的 Cookie
您可能會發現,瞭解創建 Cookie 的效果會對您很有幫助。而查看 Cookie 是比較容易的,因爲它們都是文本文件,關鍵在於您能找到它們。不同的瀏覽器保存 Cookie 的方式也不同。我將介紹 Internet Explorer 是如何保存 Cookie 的。如果您使用的是其他瀏覽器,請查看該瀏覽器的幫助,以瞭解有關 Cookie 處理方面的知識。
查看 Cookie 的一個簡便方法是讓 Internet Explorer 爲您查找。在 Internet Explorer 中,從“工具”菜單中選擇“Internet 選項”,在“常規”選項卡中單擊“設置”,然後單擊“查看文件”。Internet Explorer 將打開一個窗口,顯示所有的臨時文件,包括 Cookie。在窗口中查找以“Cookie:”開頭的文件 或查找文本文件。雙擊一個 Cookie,在默認的文本文件中打開它。
您也可以在硬盤上查找 Cookie 的文本文件,從而打開 Cookie。Internet Explorer 將站點的 Cookie 保存在文件名格式爲 <user>@<domain>.txt 的文件中,其中 <user> 是您的帳戶名。例如,如果您的名稱爲 mikepope,您訪問的站點,那麼該站點的 Cookie 將保存在名爲 [email protected] 的文件中。(該文件名可能包含一個順序的編號,如 [email protected][1].txt。)
這個 Cookie 文本文件是與用戶相關的,所以會按照帳戶分別保存。例如,在 Windows XP 中,您可以在如下所示的目錄中找到 Cookie 文件:
c:/Documents and Settings/<user>/Cookies
要查找最新創建的 Cookie,可以按修改日期對目錄內容進行排序,並查找最近修改的文件。
您可以使用文本編輯器打開 Cookie。如果該文件包含多個 Cookie,這些 Cookie 之間將用星號 (*) 分隔。每個 Cookie 的第一行是 Cookie 的名稱,第二行是值,其餘各行則包含 Cookie 的日常處理信息,例如過期日期和時間。Cookie 中還有一個簡單的校驗和,如果更改 Cookie 名稱或值的長度,瀏覽器就會檢測到修改並刪除該 Cookie。
多值 Cookie(子鍵)
以上示例爲每個要保存的值(用戶名、上次訪問時間)都使用了一個 Cookie 。您也可以在一個 Cookie 中保存多個名稱/值對。名稱/值對也稱作“鍵”或“子鍵”,具體取決於您讀取的內容。(如果您熟悉 URL 的結構,就會發現子鍵與其中的查詢字符串非常相象。) 例如,如果不希望創建名爲“userName”和“lastVisit”的兩個單獨的 Cookie,可以創建一個名爲“userInfo”的 Cookie,並使其包含兩個子鍵:“userName”和“lastVisit”。
有很多原因會讓我們用子鍵來代替單獨的 Cookie。最顯而易見的是,把相關或類似的信息放在一個 Cookie 中會比較有條理。另外,由於所有信息都在一個 Cookie 中,所以諸如有效期之類的 Cookie 屬性就適用於所有信息。(當然,如果要爲不同類型的信息指定不同的過期日期,就應該把信息保存在單獨的 Cookie 中。)
帶有子鍵的 Cookie 還可以幫助您減小 Cookie 的大小。如前面的 Cookie 的限制一節所述,Cookie 的總大小限制在 4096 字節以內,而且不能爲一個網站保存超過 20 個 Cookie。利用帶子鍵的單個 Cookie,站點的 Cookie 數量就不會超過 20 個的限制。此外,一個 Cookie 會佔用大約 50 個字符的基本空間開銷(用於保存有效期信息等),再加上其中保存的值的長度,其總和接近 4K 的限制。如果使用五個子鍵而不是五個單獨的 Cookie,您可以省去四個 Cookie 的基本空間開銷,總共能節省大約 200 個字節。
要創建帶子鍵的 Cookie,您可以使用用於編寫單個 Cookie 的各種語法。以下示例顯示了編寫同一 Cookie 的兩種不同方法,其中的每個 Cookie 都帶有兩個子鍵:
Response.Cookies("userInfo")("userName") = "mike"
Response.Cookies("userInfo")("lastVisit") = DateTime.Now.ToString
Response.Cookies("userInfo").Expires = DateTime.Now.AddDays(1)
Dim aCookie As New HttpCookie("userInfo")
aCookie.Values("userName") = "mike"
aCookie.Values("lastVisit") = DateTime.Now.ToString
aCookie.Expires = DateTime.Now.AddDays(1)
Response.Cookies.Add(aCookie)
控制 Cookie 有效範圍
默認情況下,一個站點的全部 Cookie 都一起保存在客戶機上,而且所有這些 Cookie 都會隨着對該站點發送的請求一起發送到服務器,也就是說,站點的每個頁面都能得到該站點的所有 Cookie。但有時候,您可能希望 Cookie 更具有針對性,這時,您可以通過兩種方法設置 Cookie 的有效範圍:
把 Cookie 的有效範圍限制在服務器上的一個文件夾中,實際上這樣就將 Cookie 限制到站點上的某個應用程序。
把有效範圍設置爲某個域,從而允許您指定域中的哪些子域可以訪問 Cookie。
將 Cookie 限制到某個文件夾或應用程序
要將 Cookie 限制到服務器上的某個文件夾,請按如下方法設置 Cookie 的 Path 屬性:
Dim appCookie As New HttpCookie("AppCookie")
appCookie.Value = "written " & Now.ToString
appCookie.Expires = Now.AddDays(1)
appCookie.Path = "/Application1"
Response.Cookies.Add(appCookie)
當然,您也可以通過直接設置 Response.Cookies 來編寫 Cookie,如前文所述。
路徑可以是站點根目錄下的物理路徑,也可以是虛擬根目錄。這樣一來,Cookie 就只能用於 Application1 文件夾或虛擬根目錄中的頁面。例如,如果您的站點名爲 www.contoso.com,則前面示例中生成的 Cookie 就只能用於路徑爲 http://www.contoso.com/Application1/ 的頁面以及該文件夾下的所有頁面,而不適用於其他應用程序中的頁面,如 http://www.contoso.com/Application2/ 或 http://www.contoso.com/ 下的頁面。
提示:通過對 Internet Explorer 和 Mozilla 瀏覽器進行測試發現,此處使用的路徑是區分大小寫的。一般而言,Windows 服務器上的 URL 不區分大小寫,但這種情況例外。您無法控制用戶如何在瀏覽器中輸入 URL,但是,如果您的應用程序依賴於與特定路徑相關的 Cookie,則請確保您所創建的所有超鏈接中的 URL 與 Path 屬性值的
大小寫相匹配。
將 Cookie 的有效範圍限制到域
默認情況下,Cookie 與特定的域相關聯。例如,如果您的站點,那麼當用戶向該站點請求頁面時,您編寫的 Cookie 就被髮送到服務器。(有特定路徑值的 Cookie 除外,我在上一節剛剛解釋過。) 如果您的站點有子域(例如 contoso.com、sales.contoso.com 和 support.contoso.com),就可以把 Cookie 同特定的子域相關聯。爲此,需要設置 Cookie 的 Domain 屬性,如下所示:
Response.Cookies("domain").Value = DateTime.Now.ToString
Response.Cookies("domain").Expires = DateTime.Now.AddDays(1)
Response.Cookies("domain").Domain = "support.contoso.com"
如果按照這種方式設置域,則 Cookie 只能用於指定子域中的頁面。
您也可以利用 Domain 屬性來創建可在多個子域中共享的 Cookie。例如,對域進行如下設置:
Response.Cookies("domain").Value = DateTime.Now.ToString
Response.Cookies("domain").Expires = DateTime.Now.AddDays(1)
Response.Cookies("domain").Domain = "contoso.com"
這樣,該 Cookie 就可用於主域、sales.contoso.com 和 support.contoso.com。
讀取 Cookie
當瀏覽器向服務器發送請求時,該服務器的 Cookie 會與請求一起發送。在 ASP.NET應用程序中,您可以使用 Request 對象來讀取 Cookie。Request 對象的結構與 Response 對象的結構基本相同,所以從 Request 對象中讀取 Cookie 的方法與向 Response 對象中寫入 Cookie 的方法非常類似。以下示例顯示了兩種方法,目的都是獲取名爲“username”的 Cookie 的值並將值顯示在 Label 控件中:
If Not Request.Cookies("userName") Is Nothing Then
Label1.Text = Server.HtmlEncode(Request.Cookies("userName").Value)
End If
If Not Request.Cookies("userName") Is Nothing Then
Dim aCookie As HttpCookie = Request.Cookies("userName")
Label1.Text = Server.HtmlEncode(aCookie.Value)
End If
在獲取 Cookie 的值之前,應該確保該 Cookie 確實存在。否則,您將得到一個 System.NullReferenceException(英文)異常。還需要注意的是,在頁面中顯示 Cookie 的內容之前,我調用了 HttpServerUtility.HtmlEncode(英文)方法對 Cookie 的內容進行編碼。之所以這樣做,是因爲我要顯示 Cookie 的內容(一般您不會這樣做)而且要確保沒有任何惡意用戶在 Cookie 中添加了可執行腳本。有關 Cookie 安全性的詳細信息,請參閱 Cookie 和安全性。
注意:由於不同的瀏覽器保存 Cookie 的方式也不同,所以同一臺計算機上的不同瀏覽器不一定能夠相互讀取各自的 Cookie。例如,如果使用 Internet Explorer 測試一個頁面,然後再使用其他瀏覽器進行測試,那麼後者就不會找到 Internet Explorer 保存的 Cookie。當然,大多數人一般都是使用同一種瀏覽器進行 Web 交互的,因此在大多數情況下不會出現問題。但有時還是會遇到問題,比如您要測試應用程序對瀏覽器的兼容性。
讀取 Cookie 中子鍵值的方法與設置該值的方法類似。以下是獲取子鍵值的一種方法:
If Not Request.Cookies("userInfo") Is Nothing Then
Label1.Text = _
Server.HtmlEncode(Request.Cookies("userInfo")("userName"))
Label2.text = _
Server.HtmlEncode(Request.Cookies("userInfo")("lastVisit"))
End If
在上面的示例中,我獲取的是子鍵“lastVist”的值,在此前的討論中我把該值設置爲 DateTime 值的字符串表示形式。請記住,Cookie 是用字符串的形式保存值的,所以要將 lastVisit 值用作日期,就必須對其進行轉換:
Dim dt As DateTime
dt = CDate(Request.Cookies("userInfo")("lastVisit"))
Cookie 中子鍵的類型是 NameValueCollection(英文)類型的集合。因此,另一種獲取單個子鍵的方法是先獲取子鍵集合,然後按名稱提取子鍵的值,如下所示:
If Not Request.Cookies("userInfo") Is Nothing Then
Dim UserInfoCookieCollection As _
System.Collections.Specialized.NameValueCollection
UserInfoCookieCollection = Request.Cookies("userInfo").Values
Label1.Text = Server.HtmlEncode(UserInfoCookieCollection("userName"))
Label2.Text = Server.HtmlEncode(UserInfoCookieCollection("lastVisit"))
End If
就像設置 Cookie 一樣,使用哪種方法讀取 Cookie 也由您自己決定。
什麼是有效期?
您可以讀取 Cookie 的名稱和值,除此以外,需要了解的有關 Cookie 的信息並不是很多。雖然您可以獲取 Domain 和 Path 屬性,但是這些屬性的用途很有限。例如,您可以讀取 Domain 屬性,但如果您的頁面與 Cookie 不在相同的域,您根本就不會在頁面的位置接收到該 Cookie。
您無法讀取的是 Cookie 的過期日期和時間。事實上,當瀏覽器向服務器發送 Cookie 信息時,瀏覽器並未將過期信息包括在內。您可以讀取 Expires 屬性,但總是返回爲零的日期/時間值。
在前面的編寫 Cookie 一節中,我已經講過,是瀏覽器負責管理 Cookie 的,Expires 屬性就很好地印證了這一點。Expires 屬性的主要作用是幫助瀏覽器執行有關 Cookie 保存的日常管理。從服務器的角度來看,Cookie 要麼存在要麼不存在,所以對服務器而言,有效期並不是有用的信息。所以,瀏覽器在發送 Cookie 時並不提供此信息。如果您需要 Cookie 的過期日期,就必須重新設置,關於這一點我將在修改和刪除 Cookie 中介紹。
更確切地說,您可以在向瀏覽器發送 Cookie 之前讀取已在 Response 對象中設置的 Expires 屬性,但您無法從返回的 Request 對象中獲取有效期信息。
讀取 Cookie 集合
前面的示例假設您要讀取名稱已知的 Cookie。有時,您可能需要讀取可供頁面使用的所有 Cookie。要讀取可供頁面使用的所有 Cookie 的名稱和值,您可以利用如下代碼遍歷 Request.Cookies 集合:
Dim i As Integer
Dim output As String = ""
Dim aCookie As HttpCookie
For i = 0 to Request.Cookies.Count - 1
aCookie = Request.Cookies(i)
output &= "Cookie 名稱 = " & Server.HtmlEncode(aCookie.Name) & "<br>"
output &= "Cookie 值 = " & Server.HtmlEncode(aCookie.Value) & _
& "<br><br>"
Next
Label1.Text = output
注意:運行此代碼時,您很可能會看到一個名爲“ASP.NET_SessionId”的 Cookie,ASP.NET 用這個 Cookie 來保存您的會話的唯一標識符。這個會話 Cookie 不會永久保存到您的硬盤上。有關會話 Cookie 的詳細信息,請參閱本文後面的 Cookie 和會話狀態。
前面的示例有一個限制:如果 Cookie 有子鍵,就會以一個單獨的名稱/值字符串來顯示子鍵。Cookie 的 HasKeys(英文)屬性可以告訴您該 Cookie 是否有子鍵。如果有子鍵,您可以在子鍵集合中向下鑽取,獲取各個子鍵的名稱和值。
如前文所述,您可以從 Cookie 屬性 Values(英文)中獲取有關子鍵的信息,該屬性是類型 NameValueCollection 的集合。您可以根據索引值從 Values 集合中直接讀取子鍵值。相應的子鍵值可以從 Values 集合的成員 AllKeys(英文)中得到,該成員將返回一個字符串集合。
以下示例是對前一示例的修改。示例中使用 HasKeys 屬性來測試子鍵,如果檢測到子鍵,就從 Values 集合中獲取子鍵:
Dim i As Integer
Dim j As Integer
Dim output As String = ""
Dim aCookie As HttpCookie
Dim subkeyName As String
Dim subkeyValue As String
For i = 0 To Request.Cookies.Count - 1
aCookie = Request.Cookies(i)
output &= "名稱 = " & aCookie.Name & "<br>"
If aCookie.HasKeys Then
For j = 0 To aCookie.Values.Count - 1
subkeyName = Server.HtmlEncode(aCookie.Values.AllKeys(j))
subkeyValue = Server.HtmlEncode(aCookie.Values(j))
output &= "子鍵名稱 = " & subkeyName & "<br>"
output &= "子鍵值 = " & subkeyValue & "<br><br>"
Next
Else
output &= "值 = " & Server.HtmlEncode(aCookie.Value) & "<br><br>"
End If
Next
Label1.Text = output
您也可以把子鍵作爲 NameValueCollection 對象進行提取,如下所示:
If aCookie.HasKeys Then
Dim CookieValues As _
System.Collections.Specialized.NameValueCollection = aCookie.Values
Dim CookieValueNames() As String = CookieValues.AllKeys
For j = 0 To CookieValues.Count – 1
subkeyName = Server.HtmlEncode(CookieValueNames(j))
subkeyValue = Server.HtmlEncode(CookieValues(j))
output &= "子鍵名稱 = " & subkeyName & "<br>"
output &= "子鍵值 = " & subkeyValue & "<br><br>"
Next
Else
output &= "值 = " & aCookie.Value & "<br><br>"
End If
注意:請記住,我之所以調用 Server.HtmlEncode 方法,只是因爲我要在頁面上顯示 Cookie 的值。如果您只是測試 Cookie 的值,就不必在使用前對其進行編碼。
修改和刪除 Cookie
有時,您可能需要修改某個 Cookie,更改其值或延長其有效期。(請記住,由於瀏覽器不會把有效期信息傳遞到服務器,所以您無法讀取 Cookie 的過期日期。)
當然,實際上您並不是直接更改 Cookie。儘管您可以從 Request.Cookies 集合中獲取 Cookie 並對其進行操作,但 Cookie 本身仍然存在於用戶硬盤上的某個地方。因此,修改某個 Cookie 實際上是指用新的值創建新的 Cookie,並把該 Cookie 發送到瀏覽器,覆蓋客戶機上舊的 Cookie。
以下示例說明了如何更改用於儲存站點訪問次數的 Cookie 的值:
Dim counter As Integer
If Request.Cookies("counter") Is Nothing Then
counter = 0
Else
counter = CInt(Request.Cookies("counter").Value)
End If
counter += 1
Response.Cookies("counter").Value = counter.ToString
Response.Cookies("counter").Expires = DateTime.Now.AddDays(1)
或者:
Dim ctrCookie As HttpCookie
Dim counter As Integer
If Request.Cookies("counter") Is Nothing Then
ctrCookie = New HttpCookie("counter")
Else
ctrCookie = Request.Cookies("counter")
End If
counter = CInt(ctrCookie.Value) + 1
ctrCookie.Value = counter.ToString
ctrCookie.Expires = DateTime.Now.AddDays(1)
Response.Cookies.Add(ctrCookie)
刪除 Cookie
刪除 Cookie(即把該 Cookie 從用戶的硬盤上物理刪除)是修改 Cookie 的一種形式。由於 Cookie 位於用戶的計算機中,所以您無法直接將其刪除。但是,您可以讓瀏覽器爲您刪除 Cookie。修改 Cookie 的方法前面已經介紹過(即用相同的名稱創建一個新的 Cookie),不同的是將其有效期設置爲過去的某個日期。當瀏覽器檢查 Cookie 的有效期時,就會刪除這個已過期的 Cookie。
所以,刪除 Cookie 的方法與創建該 Cookie 的方法是相同的,只不過要把其有效期設置爲過去的某個日期。以下示例比刪除單個 Cookie 要稍微有趣一些,它使用的方法可以刪除當前域的所有 Cookie:
Dim i As Integer
Dim cookieName As String
Dim limit As Integer = Request.Cookies.Count - 1
For i = 0 To limit
aCookie = Request.Cookies(i)
aCookie.Expires = DateTime.Now.AddDays(-1)
Response.Cookies.Add(aCookie)
Next
修改或刪除子鍵
修改單個子鍵的方法與最初創建它的方法相同:
Response.Cookies("userInfo")("lastVisit") = DateTime.Now.ToString
Response.Cookies("userInfo").Expires = DateTime.Now.AddDays(1)
比較複雜的問題是如何刪除單個子鍵。您不能只是簡單地重新設置 Cookie 的過期日期,因爲這樣只能刪除整個 Cookie 而不能刪除單個子鍵。實際的解決方案是對包含子鍵的 Cookie 的 Values 集合進行操作。首先,通過從 Request.Cookies 對象中獲取 Cookie 來重新創建 Cookie。然後,您就可以調用 Values 集合的 Remove 方法,將要刪除的子鍵名稱傳遞到 Remove 方法。接下來,您通常可以將修改後的 Cookie 添加到 Response.Cookies 集合,以便將修改後的 Cookie 發送回瀏覽器。
以下代碼顯示瞭如何刪除子鍵。在示例中,要刪除的子鍵的名稱在變量中指定。
Dim subkeyName As String
subkeyName = "userName"
Dim aCookie As HttpCookie = Request.Cookies("userInfo")
aCookie.Values.Remove(subkeyName)
aCookie.Expires = DateTime.Now.AddDays(1)
Response.Cookies.Add(aCookie)
Cookie 與安全性
在使用 Cookie 時,您必須意識到其固有的安全弱點。我所指的安全性並不是隱私問題,正如我在前面的什麼是 Cookie?中所述,隱私在更大程度上是某些用戶面對的問題:這些用戶很關心 Cookie 中的信息是如何被使用的。而 Cookie 的安全性問題與從客戶機獲取數據的安全性問題類似。對於初學者,就應用程序而言,Cookie 是用戶輸入的另一種形式,因而很容易被他人非法獲取和利用。由於 Cookie 保存在用戶自己的計算機上,所以用戶至少可以看到您保存在 Cookie 中的信息。如果用戶願意,還能在瀏覽器向您發送 Cookie 之前修改該 Cookie。
所以,您千萬不要在 Cookie 中保存保密信息 - 用戶名、密碼、信用卡號等等。在 Cookie 中不要保存不應該由用戶掌握的內容,也不要保存可能被其他竊取 Cookie 的人控制的內容。
同樣,要對從 Cookie 中得到的任何信息都持懷疑態度。不要認爲得到的數據就是您當初設想的信息。處理 Cookie 值時採用的安全措施應該與處理 Web 頁面中用戶鍵入的數據時採用的安全措施相同。例如,在頁面中顯示值之前,我會對 Cookie 中的內容進行 HTML 編碼。這是一種標準的方法,可以在顯示之前淨化從用戶處得到的信息,對 Cookie 的處理與此相同。
另一個需要關心的問題是,Cookie 是以純文本的形式在瀏覽器和服務器之間傳送的,任何可以截取 Web 通信的人都可以讀取 Cookie。您可以對 Cookie 的屬性進行設置,使其只能在使用安全套接字層(SSL,又稱 https://)的連接上傳輸。SSL 並不能防止保存在用戶計算機上的 Cookie 被他人讀取或操作,但它能防止 Cookie 在傳輸途中被他人截取。本文不討論 SSL,但您必須清楚,您可以對 Cookie 進行傳輸保護。有關 SSL 的詳細信息,請參閱 Secure Sockets Layer: Protect Your E-Commerce Web Site with SSL and Digital Certificates(英文)。
面對這些安全問題,如何才能安全地使用 Cookie?您可以在 Cookie 中保存一些不重要的數據,如用戶首選項或其他對應用程序沒有重大影響的信息。如果確實需要把某些敏感信息(如用戶 ID)保存在 Cookie 中,就對這些信息進行加密。一種可行的方法是利用 ASP.NET Forms Authentication 實用程序創建一個身份驗證票據,作爲 Cookie 保存。本文不討論有關加密的問題,但是,如果您需要在 Cookie 中保存敏感信息,就應該試着採取措施來隱藏信息,防止被他人盜用。
在 Mitigating Cross-site Scripting With HTTP-only Cookies(英文)一文中,您可以瞭解到更多有關 Cookie 及其安全弱點的信息。
檢查瀏覽器是否接受 Cookie
我在前面的 Cookie 的限制一節中曾經提到一個潛在問題,即用戶可以設置自己的瀏覽器拒絕接受 Cookie。如何才能知道您是否可以讀寫 Cookie?在不能寫入 Cookie 時不會出現任何錯誤(例如 Response.Cookies 不會拋出異常),因爲服務器並不跟蹤呈現頁面後出現的情況。瀏覽器同樣不會向服務器發送任何有關其當前的 Cookie 設置的信息。(也許您需要了解,但 HttpBrowserCapabilities.Cookies Property [英文] 屬性並不會告訴您 Cookie 是否被啓用,而只能告訴您當前的瀏覽器是否支持 Cookie。)
一種確定瀏覽器是否接受 Cookie 的方法是先編寫一個 Cookie,然後再嘗試讀取這個 Cookie。如果不能讀取這個 Cookie,則可以認爲該瀏覽器不接受 Cookie。
我編寫了一個簡單的示例來說明如何測試 Cookie 是否被接受。該示例包含兩個頁面。在第一個頁面中,我編寫了一個 Cookie,然後把瀏覽器重新定向到第二個頁面。第二個頁面嘗試讀取這個 Cookie,轉而將瀏覽器重新定向到第一個頁面,並向 URL 添加一個帶有測試結果的查詢字符串變量。
第一個頁面的代碼如下:
Sub Page_Load()
If Not Page.IsPostBack Then
If Request.QueryString("AcceptsCookies") Is Nothing Then
Response.Cookies("TestCookie").Value = "ok"
Response.Cookies("TestCookie").Expires = _
DateTime.Now.AddMinutes(1)
Response.Redirect("TestForCookies.aspx?redirect=" & _
Server.UrlEncode(Request.Url.ToString))
Else
labelAcceptsCookies.Text = "接受 Cookie = " & _
Request.QueryString("AcceptsCookies")
End If
End If
End Sub
第一個頁面測試是否有回信,如果沒有,就搜索包含測試結果的查詢字符串變量 (AcceptsCookies)。如果沒有找到查詢字符串變量,則表示測試還沒有完成,代碼就寫出一個名爲“TestCookie”的 Cookie。寫出 Cookie 之後,示例調用 Response.Redirect 來切換到測試頁面 (TestForCookies.aspx)。附加到測試頁面的 URL 的是名爲 redirect 的查詢字符串變量,該變量中包含了當前頁面的 URL,這樣就能在執行測試後把重定向到該頁面。
測試頁面可以完全由代碼組成,不需要包含控件。以下就是我使用的代碼:
Sub Page_Load()
Dim redirect As String = Request.QueryString("redirect")
Dim acceptsCookies As String
' 是否接受 Cookie?
If Request.Cookies("TestCookie") Is Nothing Then
' 沒有 Cookie,因此不需要接受
acceptsCookies = 0
Else
acceptsCookies = 1
' 刪除測試 Cookie
Response.Cookies("TestCookie").Expires = _
DateTime.Now.AddDays(-1)
End If
Response.Redirect(redirect & "?AcceptsCookies=" & acceptsCookies, _
True)
End Sub
讀取 redirect 查詢字符串變量後,代碼就嘗試讀取 Cookie。爲了實現日常管理,如果該 Cookie 確實存在,就會被立即刪除。測試完成後,代碼從 redirect 查詢字符串變量傳遞的 URL 構造一個新的 URL。新的 URL 也包括一個包含測試結果的查詢字符串變量。最後一步是使用新的 URL 將瀏覽器重定向到原來的頁面。
這個示例十分簡單,但說明了通過運行程序並查看結果來進行測試的基本原則。其中最需要改進的地方是要永久保存 Cookie 測試結果,這樣用戶就不必在每次瀏覽原始頁面時都重複進行測試。但是,實際上並不能做到這一點。Cookie 不會起作用,原因是顯而易見的。另一種可能是把測試結果保存在會話狀態中,但在默認情況下,會話狀態也依賴於 Cookie,而如果瀏覽器不接受 Cookie,會話狀態也不會起作用。解決後一個問題的辦法是採用無 Cookie 的會話狀態。下一節我將簡要介紹會話狀態如何與 Cookie 協作。
Cookie 和會話狀態
當用戶訪問您的站點時,服務器會爲該用戶創建唯一的會話,會話將一直延續到用戶訪問結束。對於每個會話,ASP.NET 都維護一種基於服務器的結構(會話狀態),在該結構中應用程序可以保存用戶的相關信息。有關詳細信息,請參閱 Session State(英文)。
ASP.NET 需要能跟蹤每個用戶的會話 ID,這樣才能把用戶映射到服務器上的會話狀態信息。默認情況下,ASP.NET 使用一個非永久性的 Cookie 來保存會話狀態。如果您使用讀取 Cookie 一節的“讀取 Cookie 集合”中的示例,您可能就會在 Cookie 中發現一個會話狀態 Cookie。
但是如果用戶禁用了瀏覽器的 Cookie,會話狀態就不能使用 Cookie 來保存會話ID,會話狀態也不會起作用。這就是爲什麼我在前面的檢查瀏覽器是否接受 Cookie 中說,無法在 Cookie 測試完畢後把測試結果實際保存在會話狀態中,因爲沒有 Cookie 就沒有會話狀態。
ASP.NET 提供了一種解決方案,即利用無 Cookie 的會話。您可以配置自己的應用程序,不在 Cookie 中保存會話 ID,而是在站點頁面的 URL 中保存。會話 ID 保存在 URL 中,也就是 ASP.NET 將 ID 保存在瀏覽器中,從而能夠在用戶請求其他頁面時取回 ID。
無 Cookie 會話可以避免瀏覽器拒絕 Cookie 的問題,使您能夠使用會話狀態。如果您的應用程序依賴於會話狀態,您可能就需要對其進行配置,使它能使用無 Cookie 會話。但是,在某些情況下,如果用戶與其他人共享 URL - 可能是用戶通過電子郵件將 URL 發送給同事,而該用戶的會話仍然處於激活狀態 - 那麼最終這兩個用戶可能共享同一個會話,結果將難以預料。