Cookies揭祕
一,前言
Cookies想必所有人都瞭解, 但是未必所有人都精通。本文講解了Cookies的各方面知識, 並且提出來了最佳實踐。這是筆者在日常工作中的積累和沉澱。
二,基礎知識
1.什麼是Cookies
Cookie 是一小段文本信息,伴隨着用戶請求和頁面在 Web 服務器和瀏覽器之間傳遞。Cookie 包含每次用戶訪問站點時 Web 應用程序都可以讀取的信息。
例如,如果在用戶請求站點中的頁面時應用程序發送給該用戶的不僅僅是一個頁面,還有一個包含日期和時間的 Cookie,用戶的瀏覽器在獲得頁面的同時還獲得了該 Cookie,並將它存儲在用戶硬盤上的某個文件夾中。
以後,如果該用戶再次請求您站點中的頁面,當該用戶輸入 URL 時,瀏覽器便會在本地硬盤上查找與該 URL 關聯的 Cookie。如果該 Cookie 存在,瀏覽器便將該 Cookie 與頁請求一起發送到您的站點。然後,應用程序便可以確定該用戶上次訪問站點的日期和時間。您可以使用這些信息向用戶顯示一條消息,也可以檢查到期日期。
Cookie 與網站關聯,而不是與特定的頁面關聯。因此,無論用戶請求站點中的哪一個頁面,瀏覽器和服務器都將交換 Cookie 信息。用戶訪問不同站點時,各個站點都可能會向用戶的瀏覽器發送一個 Cookie;瀏覽器會分別存儲所有 Cookie。
Cookie 幫助網站存儲有關訪問者的信息。一般來說,Cookie 是一種保持 Web 應用程序連續性(即執行狀態管理)的方法。除短暫的實際交換信息的時間外,瀏覽器和 Web 服務器間都是斷開連接的。對於用戶向 Web 服務器發出的每個請求,Web 服務器都會單獨處理。但是在很多情況下,Web 服務器在用戶請求頁時識別出用戶會十分有用。例如,購物站點上的 Web 服務器跟蹤每位購物者,這樣站點就可以管理購物車和其他的用戶特定信息。因此,Cookie 可以作爲一種名片,提供相關的標識信息幫助應用程序確定如何繼續執行。
使用 Cookie 能夠達到多種目的,所有這些目的都是爲了幫助網站記住用戶。例如,一個實施民意測驗的站點可以簡單地將 Cookie 作爲一個 Boolean 值,用它來指示用戶的瀏覽器是否已參與了投票,這樣用戶便無法進行第二次投票。要求用戶登錄的站點則可以通過 Cookie 來記錄用戶已經登錄,這樣用戶就不必每次都輸入憑據。
2.Cookies如何存儲
Cookies保存在用戶的本地機器上,不同的瀏覽器存儲在不同的文件夾中,並且按照域名分別保存。即網站之間的Cookies不會彼此覆蓋。
IE瀏覽器的用戶可以通過在本地的文檔中找到Cookies的txt文件, 不同操作系統的位置不同,windows server 2003/xp都保存在:
C:\Documents and Settings\Administrator\Cookies 文件夾下。
其中名稱txt按照域名保存,比如localhost域下的cookies爲:
administrator@localhost[1].txt 或者 administrator@localhost[2].txt
其中後面的[1]和[2]是隨着每次保存交替變化的。
3.Cookies如何傳遞
Cookies的信息是在Web服務器和瀏覽器之間傳遞的。保存在Http請求中。
(1)請求頁面
在請求一個頁面的Http頭中,會將屬於此頁面的本地Cookies信息加在Http頭中,注意下面加粗的部分:
GET /Cookies/Test.aspx HTTP/1.1 Host: localhost:1335 User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.2; zh-CN; rv:1.9.1.1) Gecko/20090715 Firefox/3.5.1 GTB5 (.NET CLR 3.5.30729) Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-cn,zh;q=0.5 Accept-Encoding: gzip,deflate Accept-Charset: GB2312,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive Cookie: My.Common.TestCookieInfo=Pkid=999&TestValue=aaabbbcccdddeee(2)頁面響應
如果頁面要求寫入Cookies信息,則返回的Http如下,注意加粗的部分:
HTTP/1.x 200 OK Server: ASP.NET Development Server/9.0.0.0 Date: Thu, 06 Aug 2009 03:40:59 GMT X-AspNet-Version: 2.0.50727 Set-Cookie: My.Common.TestCookieInfo=Pkid=999&TestValue=aaabbbcccdddeee; expires=Fri, 07-Aug-2009 03:40:59 GMT; path=/ Cache-Control:private Content-Type: text/html; charset=utf-8 Content-Length: 558 Connection: Close4.Cookies如何查看
(1)查看Cookies的txt文件
IE用戶可以直接查看Cookies的txt文件。
比如:C:\Documents and Settings\Administrator\Cookies\administrator@localhost[1].txt
(2)使用插件
FF下使用Web Developer插件可以很方便的查看、刪除和修改Cookies:
插件截圖:
查看頁面Cookies:
三. Cookies高級知識
1.Cookie 的限制
大多數瀏覽器支持最大爲 4096 字節的 Cookie。
瀏覽器還限制站點可以在用戶計算機上存儲的 Cookie 的數量。大多數瀏覽器只允許每個站點存儲 20 個 Cookie;注意這裏的20個是指主鍵值,也就是20條Cookies記錄,但是每個Cookies記錄還可以包含若干子鍵,下面會詳細解釋。如果試圖存儲更多 Cookie,則最舊的 Cookie 便會被丟棄。有些瀏覽器還會對它們將接受的來自所有站點的 Cookie 總數作出絕對限制,通常爲 300 個。
2.Cookies的存儲格式
Cookies可以包含一個主鍵, 主鍵再包含子鍵。比如asp.net中獲取Cookies的格式是:
Request.Cookies[key][subkey].ToString();
其中的key就是主鍵,subkey就是主鍵關聯的子鍵。
(1)本地磁盤存儲格式:
My.Common.TestCookieInfoPkid=999&TestValue=aaabbbcccdddeeelocalhost/1536305960396830021392234896046430021191*其中的Pkid=999&TestValue=aaabbbcccdddeee 是Cookies的值,由於使用了subkey=subvalue的格式, 所以此Cookies是包含子鍵的。
(2)Javascript中的Cookie格式
在Javascript中給的Cookie是一個字符串,通過document.cookies獲取。字符格式如下:
My.Common.SubKey=Pkid=999&TestValue=aaabbbcccdddeee;SingleKey=SingleKeyValue
上面的字符串包含了兩個Cookies,一個是不包含子鍵的SingleKey, 一個是包含pkid和TextValue兩個子鍵的My.Common.SubKey,兩個Cookie通過“;”分割。
(3)Asp.Net中的Cookies格式
和所有的服務器端語言一樣,Asp.Net中使用集合類保存Cookies集合:
public sealed class HttpCookieCollection : NameObjectCollectionBase{...}
通過HttpResquest和HttpResponse對象的Cookies屬性,可以獲取和寫入當前頁面的Cookies。
3.Cookies的內容編碼格式
Cookies的值中可以保存除了“;”以外的標點符號。但是不能保存漢字。保存漢字會出現亂碼。
所以對於Cookies中的內容要進行統一的編碼和解碼。爲了在瀏覽器端和服務器端都能夠進行解碼和編碼, 所以要統一使用UTF編碼格式。
主要是因爲javascript中只能使用UTF編碼格式。
4.Cookies的Path屬性
Cookies的Path屬性表示當前的Cookies可以作用在網站的那個路徑下。
比如下面的兩個同名的Cookies:
允許存在兩個同名但是Path不同的Cookies。
無論是服務器端還是客戶端,在獲取時優先獲取本頁路徑下面的Cookies。
也就是說如果在、/chapter10/路徑下面的頁面, 獲取testKey這個Cookies的值,則只能獲取到testValue222222這個值。
5.Cookies的過期時間
如果保存Cookies時未設置過期時間, 則Cookies的過期時間爲“當前瀏覽器進程有效”,即和Session一樣關閉瀏覽器後則消失。在asp.net中還可以通過設置HttpCookie對象的過期時間爲DateTime.MinValue來指定此Cookies爲跟隨瀏覽器生效。(這句話來之不易啊,在腦袋等人的幫助下才查到的。)
如果設置了過期時間並且大於當前時間,則會保存Cookies值。
如果設置了過期時間但是小於等於當前時間,則清除Cookies值。
6.Cookies與Session
有時我們會忽略Cookies與Session的關係。但是兩者是密不可分的。
Session的唯一標示:SessionID是通常保存在Cookies中的(也可以保存在URL中)。對於Asp.Net而言,SessionID保存在鍵值爲“ASP.NET_SessionId”的Cookies中,如圖:
因爲Cookies的存儲數量是有限制的,所以我們的系統在保存Cookies的時候一定要注意防止沖掉這一個關鍵的Cookies。在下文介紹的最佳實踐-以強對象方式保存Cookies的代碼中特意對這個Cookies做了處理。
注意,在客戶端使用javascript腳本無法獲取“ASP.NET_SessionId”的Cookies, 因爲此Cookies在服務器端設置了HttpOnly屬性爲true。
ASP.Net中HttpCookie對象的HttpOnly 屬性 指定一個Cookie 是否可通過客戶端腳本訪問。不能通過客戶端腳本訪問爲 true;否則爲 false。默認值爲 false。此屬性並不能完全阻止客戶端在本地獲取cookies,但是可以增加通過腳本直接獲取的難度。
Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持 Cookie 屬性 HttpOnly。
7.Cookies加密
在設置Cookies的屬性時,有一個選項Secure用來控制Cookie的加密特性。
如果通過 SSL 連接 (HTTPS) 傳輸 Cookie,則爲 true;否則爲 false。默認爲 false。
如果我們保存一個Cookies並設置加密,那麼在非HTTPS的頁面中,無論是使用javascript還是服務器端都無法獲得此Cookies。但是在本地依然可以看到此Cookies的存在。
8.Cookies與Ajax
如果Ajax請求訪問一個服務器頁面,此服務器頁面是可以向用戶瀏覽器寫入Cookies和Session的。
四. Cookies最佳實踐
在瞭解了Cookies的相關知識後,下面提出最佳的事件方法。其中包括客戶端和服務器端兩部分。
(1)Asp.Net 中保存Cookies
通常,我們使用Request和Response對象來直接操作Cookies:
寫入Cookies:
Response.Cookies["k1"].Value ="k1Value";Response.Cookies["k2"]["k2-1"] ="k2-1Value";Response.Cookies.Add(new HttpCookie("k3","k3Value"));
讀取Cookies:
Request["k1"] ;Request.Cookies["k1"].Value ;Request.Cookies["k2"]["k2-1"];Request.Cookies.Get(0).Value;
注意Request["k1"]這個大家熟悉的獲取get和post參數的方法,同時還能夠獲取Cookies的值!
另外上面語句中的有些是必須通過Value屬性訪問的,有些則不需要。
(2)以對象方式保存Cookies
下面提供一個可以以對象方式整體保存Cookies的工具類。並且只佔用一條Cookies,所有的屬性都存在子鍵上。
-
源代碼:
-
使用
首先說明如何使用此類。
爲想要保存在Cookies中的類建立模型,並且繼承自CookieInfo即可。比如下面建立了MyCookieInfo類,其中包含屬性pkid,TestValue和TestDateTime:
/// <summary>/// 保存Cookies的數據對象/// </summary> [System.Serializable] public class MyCookieInfo : CookieInfo { private int m_Pkid = 0; public int Pkid { get { return m_Pkid ; } set { m_Pkid =value ; } } private string m_TestValue = ""; public string TestValue { get { return m_TestValue; } set { m_TestValue =value; } } private DateTime m_TestDateTime = DateTime.Now; public DateTime TestDateTime { get { return m_TestDateTime; } set { m_TestDateTime =value; } } }
接下來就可以使用對象的Save和Load方法保存和讀取Cookies:
-
保存
Save方法有兩個重載,不帶參數的Save方法表示Cookies的過期時間與瀏覽器相同,即瀏覽器關閉則Cookies消失。否則需要傳入Cookies過期時間。
-
讀取
MyCookieInfo testCookies = new MyCookieInfo();testCookies.Load();this.lblMsg.Text ="Pkid:" + testCookies.Pkid.ToString();this.lblMsg.Text +=",TestValue:" + testCookies.TestValue.ToString();this.lblMsg.Text +=",TestDateTime:" +
testCookies.TestDateTime.ToString("yyyy/MM/dd HH:mm:ss",
System.Globalization.DateTimeFormatInfo.InvariantInfo);
現在我們已經可以將一個強類型的對象讀取和保存Cookies了。
(3)使用Javascript操作Cookies
在客戶端我們同樣需要操作Cookies。
下面是封裝了的專門用於操作Cookies的jQuery工具函數。如果還有人不知道jQuery是什麼,請參考我的“從零開始學習jQuery”系列教程:
http://www.cnblogs.com/zhangziqiu/archive/2009/04/30/jQuery-Learn-1.html
當然此工具函數稍加修改,就可以變成標準的Javascript函數。
下載地址:http://files.cnblogs.com/zhangziqiu/jquery.extend-lastest.js
工具函數說明:
方法簽名: jQuery.cookie(name, subName, value, options)
方法說明:讀取、寫入、刪除Cookies
方法參數:
名稱 | 說明 | 舉例 |
name | cookies的主鍵值 |
讀取主鍵: $.cookie("singleKey") 寫入cookies,值爲字符串: $.cookie("singleKey","", "singleKey-value", { expires: 1, path: "/", secure: false }) |
subName | 子鍵名稱。在寫入時請傳遞空或者null |
讀取子鍵: $.cookie("multiKey","subName1") 寫入cookies,值爲對象: var subNameObj = { subName1:"aaa", subName2:"bbb", subName3:"ccc" };$.cookie("multiKey","", subNameObj, { expires: 1, path:"/", secure:false }); |
value |
Cookies值,可以是字符串或者對象。 如果是對象,則將對象的每個屬性保存在Cookies子鍵。 |
參見上面實例。 |
options |
參數: expires:可以是數字或者Data類型的對象。 如果傳入數字表示幾天後過期。 path:路徑,默認爲域名根目錄(“/”)。 secure:是否啓用加密,默認爲否。 |
指定過期時間: var myDate =new Date();myDate.setFullYear(2009, 10, 10);$.cookie("singleKey","", "singleKey-value", { expires: myDate, secure: false })1天后過期: var time = Date();$.cookie("singleKey","", "singleKey-value", { expires: 1, path: "/", secure: false }) |