Web应用中关于cookie的属性及其属性功能介绍

       cookie是在浏览器中存储数据的一种简单的机制。cookie存储的数据有时候非常重要。因为cookie有很多用途,既可以存储会话标识符——这样当你访问网站时,网站会记住你是谁;也可以存储会话信息,记住你刚才做过什么事。cookie还包含一个时间范围属性,表示它的有效期,可能是几秒,也可能是未来很长时间。

       cookie可以在浏览器关闭再打开后仍然有效,也可以随着浏览器窗口关闭而被立即删除。cookie由Web应用负责维护,保存在浏览器的本地数据库里,相应的数据由Web应用设置和管理。Web应用请求浏览器为它在一段时间内保存一点数据。当浏览器重新打开相应cookie对应的域时,就会在每一个HTTP请求中附加该cookie一起发送。这样,浏览器就可以识别访问网站的特定用户,从而实现定向广告,以及在用户重新访问同一网站时显示欢迎消息。

       cookie属性用于帮助决定什么时候应该把cookie发送回服务器,以及cookie应该存活多长时间。这种属性的组合用于限制用户对攻击者的暴露程度,同时也确保数据不会保存得比需要的时间还长。正如对开发者来说,理解这些属性对用户与应用交互的影响非常重要,理解它们的功能对我们来说也同样重要。那么cookie具有哪些属性?这些属性又有哪些功能呢?下面南昌网络公司小编就来跟大家探讨一下:

       一、失效时间属性

       失效时间对应的属性是Expires,它帮助浏览器决定保存cookie的时间。cookie的生命周期可以长至浏览器多次重启都有效,也可以短至只要浏览器一关闭就结束。不设置Expires属性就可以实现不在磁盘上保存cookie,而一旦浏览器关闭就销毁cookie数据。这种方法常用于登录会话,以及其他不需要在多次浏览器重启过程中仍然保持的会话。

       对追踪用户而言,会话cookie是理想的选择。如果应用想在用户每次返回应用时都区分识别他们,那么持久cookie更合适。持久cookie会设置一下未来的删除cookie的时间。设置时间可长可短,从几秒钟到比用户存续时间还长都可以。

       了解了cookie的类型,才能更好地攻击用户会话。在窃取会话的时候,cookie的存活时间和会话的超时值(timeout value)决定了你有多长时间可以维持访问。过短的会话超时时间会限制cookie的可用性,即使cookie的生命周期很长也没有用。在攻击Web浏览器的过程中,理解这些细微的差别非常重要。

       二、HttpOnly标签

       HttpOnly标签用于阻止JavaScript及其他脚本语言访问cookie。HttpOnly告诉浏览器只能通过HTTP协议传输cookie,不能在DOM中访问cookie。这样可以防止XSS攻击向外部发送cookie数据,也可以防止渲染HTML代码时修改cookie。下面我们就扩展前面的代码片段,进一步认识这个标签。

       原来的Ruby代码设置了两个带HttpOnly标签的会话cookie,可以通过在DOM中访问cookie来验证这一点。打开Firebug控制台,在命令编辑器中输入document.cookie,然后单击Run。结果就返回一个空值,如下图所示。

Web应用中关于cookie的属性及其属性功能介绍插图

通过控制台查看cookie

通过控制台查看cookie

       如果想实现在DOM中访问cookie,则必须禁用HttpOnly标签。为此,修改setcookie函数的最后一个参数,不让它启用HttpOnly标签。修改后的代码如下:

       class CookieDemo < Sinatra::Base

       get "/" do

       response.set_cookie "session_cookie", {:value => 'yes',

       :domain => 'browserhacker.com',

       :path => '/' }

       response.set_cookie "persistent_cookie", {:value => 'yes',

       :domain => 'browserhacker.com',

       :path => '/', :expires => Time.now + (60 * 60 * 7) }

       "n" + request.cookies.to_json + "nn"

       end

       end

       重新加载页面,再次在Firebug控制台中执行document.cookie,就会看到响应中包含的cookie了,如下图所示。

Web应用中关于cookie的属性及其属性功能介绍插图(1)

通过控制台查看未设置HttpOnly标签的cookie

通过控制台查看未设置HttpOnly标签的cookie

       这里演示了在你能够随意通过浏览器执行JavaScript代码的情况下,如何访问未设置HttpOnly标签的cookie。不过,在不读取HttpOnly cookie的情况下,还是可以利用它们的。

       三、理解安全标签

       假设有一个电子商务应用托管在browserhacker.com上,这个应用需要跟踪购物车,并在用户访问结账页面时对用户进行认证。此时,如果能够通过HTTPS来实现结账功能就更好了。

       Secure这个安全标签就是用于限制只能通过SSL加密的连接发送cookie。设置这个标签不仅能防止不适当地使用cookie,也可以阻止别有用心的人窥探cookie。

       四、理解路径属性

       路径(Path)属性加上域(Domain)标签,用于表示cookie适用的范围。大型的应用通常需要宽泛的域或路径,以便用户能够在站点的多个子域之间跳转。

下面还以我们的电子商务应用browserhacker.com为例。理想的情况是使用两个cookie:一个会话cookie跟踪用户对所有browserhacker.com域的访问,另一个会话cookie跟踪在browserhacker.com中认证后的用户,将其限制于只能访问/checkout路径。通过将cookie限制到特定的路径,再加上使用HttpOnly等安全功能,暴露结账环节私密信息的可能性就会大大降低。

       可惜现实并没有那么美好。只要内容存在XSS利用漏洞,那么就没办法阻止通过打开内嵌的框架向限定的路径注入JavaScript,然后访问相应的cookie。即使子内嵌框架处于SOP保护之下,cookie依旧会曝光。

       关于cookie的属性及其属性功能,南昌网络公司小编就为大家介绍到这里,了解了这些属性后相信开发人员在Web应用中就可以运用自如了。以上cookie方面的内容如果大家还有哪些不明白的地方,大家随时可来电和我们联系。有想了解更多关于网站建设、微信开发、手机APP开发等方面资讯的朋友,欢迎关注易速网络网站动态,更多精彩内容与您分享!

提供全面的搜索引擎优化学习交流,专注网站优化和搜索引擎营销推广服务。用专业的SEO技术为企业网站提升关键词排名,让你的网站不仅满足用户体验还要适合搜索引擎优化规则。
易速网站优化公司 » Web应用中关于cookie的属性及其属性功能介绍
享更多特权,立即登录下载海量资源
喜欢我嘛?喜欢就按“ctrl+D”收藏我吧!♡