什么是Cookies?

你會(huì)問(wèn)，什么是cookies呢? cookie 是瀏覽器保存在用戶計(jì)算機(jī)上的少量數(shù)據(jù)。它與特定的WEB頁(yè)或WEB站點(diǎn)關(guān)聯(lián)起來(lái)，自動(dòng)地在WEB瀏覽器和WEB服務(wù)器之間傳遞。

比如，如果你運(yùn)行的是Windows操作系統(tǒng)，使用Internet Explorer上網(wǎng)，那么你會(huì)發(fā)現(xiàn)在你的“Windows”目錄下面有一個(gè)子目錄，叫做“Temporary Internet Files”。如果你有空看看這個(gè)目錄，就會(huì)發(fā)現(xiàn)里面有一些文件，文件名稱(chēng)看起來(lái)就象電子郵件地址。比如在我機(jī)器上的這個(gè)目錄里，就有“jim@support.microsoft.com”這樣的文件。這是一個(gè)cookie 文件，這個(gè)文件從哪來(lái)呢？猜一猜，它來(lái)自微軟的支持站點(diǎn)。順便說(shuō)一句，這不是我的電子郵件地址，特此澄清。

對(duì)于管理細(xì)小的、不重要的、不想保存在中央數(shù)據(jù)庫(kù)里的細(xì)節(jié)信息，Cookies 是個(gè)很不錯(cuò)的方案。（這不是說(shuō)大家的名字不重要。）比如，目前網(wǎng)站上不斷增長(zhǎng)的自定義服務(wù)，可以為每個(gè)用戶定制他們要看的內(nèi)容。如果你設(shè)計(jì)的就是這樣一個(gè)站點(diǎn)，那么你怎么來(lái)管理這樣的信息：一個(gè)用戶喜歡綠色的菜單條，而另一個(gè)喜歡紅色的。確實(shí)是個(gè)累人的問(wèn)題。不過(guò)，這樣的信息，可以很安全地記錄到cookie，并保存在用戶的計(jì)算機(jī)上，而你自己的數(shù)據(jù)庫(kù)空間可以留給更長(zhǎng)久更有意義的數(shù)據(jù)。

FYI: Cookies 對(duì)于安全用途，通常很有用。我不想在此就這一問(wèn)題過(guò)于深入，只是提供一個(gè)示例，可以看到如何使用在一段時(shí)間之后過(guò)期的cookies來(lái)保證站點(diǎn)安全：

1. 使用用戶名和口令，通過(guò) SSL 登錄。
2. 在服務(wù)器的數(shù)據(jù)庫(kù)里檢查用戶名和口令。如果登錄成功，建立一個(gè)當(dāng)前時(shí)間標(biāo)簽的消息摘要 (比如 MD5) ，并把它保存在cookie和服務(wù)器數(shù)據(jù)庫(kù)里。把用戶的登錄時(shí)間保存在服務(wù)器數(shù)據(jù)庫(kù)里面的用戶記錄里。
3. 在進(jìn)行每個(gè)安全事務(wù)時(shí)（用戶處于登錄狀態(tài)的任何事務(wù)），把cookie的消息摘要和保存在服務(wù)器數(shù)據(jù)庫(kù)里的摘要進(jìn)行比較，如果比較失敗，就把用戶引導(dǎo)到登錄界面。
4. 如果第3步檢查通過(guò)，那么檢查當(dāng)前時(shí)間和登錄時(shí)間之音經(jīng)過(guò)的時(shí)間是否超過(guò)允許的時(shí)間長(zhǎng)度。如果用戶已經(jīng)超時(shí)，那么就把用戶引到登錄界面。
5. 如果第3步和第4步都通過(guò)了，那么把登錄時(shí)間重新設(shè)置成當(dāng)前時(shí)間，允許事務(wù)發(fā)生。那些需要你登錄的安全站點(diǎn)，可能多數(shù)使用的都是和這里介紹的類(lèi)似的方法。

Cookies最初設(shè)計(jì)時(shí)，是為了CGI編程。但是，我們也可以使用Javascript腳本來(lái)操縱cookies。在本文里，我們將演示如何使用Javascript腳本來(lái)操縱cookies。(如果有需求，我可能會(huì)在以后的文章里介紹如何使用Perl進(jìn)行cookie管理。但是如果實(shí)在等不得，那么我現(xiàn)在就教你一手：仔細(xì)看看CGI.pm。在這個(gè)CGI包里有一個(gè)cookie()函數(shù)，可以用它建立cookie。但是，還是讓我們先來(lái)介紹cookies的本質(zhì)。

在Javascript腳本里，一個(gè)cookie 實(shí)際就是一個(gè)字符串屬性。當(dāng)你讀取cookie的值時(shí)，就得到一個(gè)字符串，里面當(dāng)前WEB頁(yè)使用的所有cookies的名稱(chēng)和值。每個(gè)cookie除了name名稱(chēng)和value值這兩個(gè)屬性以外，還有四個(gè)屬性。這些屬性是： expires過(guò)期時(shí)間、path路徑、domain域、以及secure安全。

Expires – 過(guò)期時(shí)間。指定cookie的生命期。具體是值是過(guò)期日期。如果想讓cookie的存在期限超過(guò)當(dāng)前瀏覽器會(huì)話時(shí)間，就必須使用這個(gè)屬性。當(dāng)過(guò)了到期日期時(shí)，瀏覽器就可以刪除cookie文件，沒(méi)有任何影響。

Path – 路徑。指定與cookie關(guān)聯(lián)的WEB頁(yè)。值可以是一個(gè)目錄，或者是一個(gè)路徑。如果http://www.zdnet.com/devhead/index.html 建立了一個(gè)cookie，那么在http://www.zdnet.com/devhead/目錄里的所有頁(yè)面，以及該目錄下面任何子目錄里的頁(yè)面都可以訪問(wèn)這個(gè)cookie。這就是說(shuō)，在http://www.zdnet.com/devhead/stories/articles 里的任何頁(yè)面都可以訪問(wèn)http://www.zdnet.com/devhead/index.html建立的cookie。但是，如果http://www.zdnet.com/zdnn/ 需要訪問(wèn)http://www.zdnet.com/devhead/index.html設(shè)置的cookes，該怎么辦？這時(shí)，我們要把cookies的path屬性設(shè)置成“/”。在指定路徑的時(shí)候，凡是來(lái)自同一服務(wù)器，URL里有相同路徑的所有WEB頁(yè)面都可以共享cookies?，F(xiàn)在看另一個(gè)例子：如果想讓 http://www.zdnet.com/devhead/filters/ 和http://www.zdnet.com/devhead/stories/共享cookies，就要把path設(shè)成“/devhead”。

Domain – 域。指定關(guān)聯(lián)的WEB服務(wù)器或域。值是域名，比如zdnet.com。這是對(duì)path路徑屬性的一個(gè)延伸。如果我們想讓catalog.mycompany.com 能夠訪問(wèn)shoppingcart.mycompany.com設(shè)置的cookies，該怎么辦? 我們可以把domain屬性設(shè)置成“mycompany.com”，并把path屬性設(shè)置成“/”。FYI：不能把cookies域?qū)傩栽O(shè)置成與設(shè)置它的服務(wù)器的所在域不同的值。

Secure – 安全。指定cookie的值通過(guò)網(wǎng)絡(luò)如何在用戶和WEB服務(wù)器之間傳遞。這個(gè)屬性的值或者是“secure”，或者為空。缺省情況下，該屬性為空，也就是使用不安全的HTTP連接傳遞數(shù)據(jù)。如果一個(gè) cookie 標(biāo)記為secure，那么，它與WEB服務(wù)器之間就通過(guò)HTTPS或者其它安全協(xié)議傳遞數(shù)據(jù)。不過(guò)，設(shè)置了secure屬性不代表其他人不能看到你機(jī)器本地保存的cookie。換句話說(shuō)，把cookie設(shè)置為secure，只保證cookie與WEB服務(wù)器之間的數(shù)據(jù)傳輸過(guò)程加密，而保存在本地的cookie文件并不加密。如果想讓本地cookie也加密，得自己加密數(shù)據(jù)。

?

操縱Cookies 請(qǐng)記住，cookie就是文檔的一個(gè)字符串屬性。要保存cookie，只要建立一個(gè)字符串，格式是name=<value>（名稱(chēng)＝值），然后把文檔的 document.cookie 設(shè)置成與它相等即可。比如，假設(shè)想保存表單接收到的用戶名，那么代碼看起來(lái)就象這樣： document.cookie = "username" + escape(form.username.value); 在這里，使用 escape() 函數(shù)非常重要，因?yàn)閏ookie值里可能包含分號(hào)、逗號(hào)或者空格。這就是說(shuō)，在讀取cookie值時(shí)，必須使用對(duì)應(yīng)的unescape()函數(shù)給值解碼。 我們當(dāng)然還得介紹cookie的四個(gè)屬性。這些屬性用下面的格式加到字符串值后面： name=<value>[; expires=<date>][; domain=<domain>][; path=<path>][; secure] 名稱(chēng)=<值>[; expires=<日期>][; domain=<域>][; path=<路徑>][; 安全] <value>, <date>, <domain> 和 <path> 應(yīng)當(dāng)用對(duì)應(yīng)的值替換。<date> 應(yīng)當(dāng)使用GMT格式，可以使用Javascript腳本語(yǔ)言的日期類(lèi)Date的.toGMTString() 方法得到這一GMT格式的日期值。方括號(hào)代表這項(xiàng)是可選的。比如在 [; secure]兩邊的方括號(hào)代表要想把cookie設(shè)置成安全的，就需要把"; secure" 加到cookie字符串值的后面。如果"; secure" 沒(méi)有加到cookie字符串后面，那么這個(gè)cookie就是不安全的。不要把尖括號(hào)<> 和方括號(hào)[] 加到cookie里（除非它們是某些值的內(nèi)容）。設(shè)置屬性時(shí)，不限屬性，可以用任何順序設(shè)置。 下面是一個(gè)例子，在這個(gè)例子里，cookie "username" 被設(shè)置成在15分鐘之后過(guò)期，可以被服務(wù)器上的所有目錄訪問(wèn)，可以被"mydomain.com"域里的所有服務(wù)器訪問(wèn)，安全狀態(tài)為安全。 // Date() 的構(gòu)造器設(shè)置以毫秒為單位 // .getTime() 方法返回時(shí)間，單位為毫秒 // 所以要設(shè)置15分鐘到期，要用60000毫秒乘15分鐘 var expiration = new Date((new Date()).getTime() + 15 * 60000); document.cookie = "username=" + escape(form.username.value)+ "; expires =" + expiration.toGMTString() + "; path=" + "/" + "; _ domain=" + "mydomain.com" + "; secure"; 讀取cookies值有點(diǎn)象個(gè)小把戲，因?yàn)槟阋淮尉偷玫搅藢儆诋?dāng)前文檔的所有cookies。 // 下面這個(gè)語(yǔ)句讀取了屬于當(dāng)前文檔的所有cookies var allcookies = document.cookie; 現(xiàn)在，我們得解析allcookies變量里的不同cookies，找到感興趣的指定cookie。這個(gè)工作很簡(jiǎn)單，因?yàn)槲覀兛梢岳肑avascript語(yǔ)言提供的擴(kuò)展字符串支持。 如果我們對(duì)前面分配的cookie "username" 感興趣，可以用下面的腳本來(lái)讀取它的值。 // 我們定義一個(gè)函數(shù)，用來(lái)讀取特定的cookie值。 function getCookie(cookie_name) { var allcookies = document.cookie; var cookie_pos = allcookies.indexOf(cookie_name); ?// 如果找到了索引，就代表cookie存在， ?// 反之，就說(shuō)明不存在。 ?if (cookie_pos != -1) ?{ ??// 把cookie_pos放在值的開(kāi)始，只要給值加1即可。 ??cookie_pos += cookie_name.length + 1; ??var cookie_end = allcookies.indexOf(";", cookie_pos); ??if (cookie_end == -1) ??{ ???cookie_end = allcookies.length; ??} ??var value = unescape(allcookies.substring(cookie_pos, cookie_end)); ?} ?return value; } // 調(diào)用函數(shù) var cookie_val = getCookie("username"); 上面例程里的 cookie_val 變量可以用來(lái)生成動(dòng)態(tài)內(nèi)容，或者發(fā)送給服務(wù)器端CGI腳本進(jìn)行處理。現(xiàn)在你知道了使用Javascript腳本操縱cookies的基本方法。但是，如果你跟我一樣，那么我們要做的第一件事，就是建立一些接口函數(shù)，把cookies處理上的麻煩隱藏起來(lái)。不過(guò)，在你開(kāi)始編程之前，稍候片刻。這些工作，早就有人替你做好了。你要做的，只是到哪去找這些接口函數(shù)而已。 比如，在David Flangan的Javascript: The Definitive Guide 3rd Ed.這本書(shū)里，可以找到很好的cookie應(yīng)用類(lèi)。你也可以在Oreilly的WEB站點(diǎn)上找到這本書(shū)里的例子。本文最后的鏈接列表里，有一些訪問(wèn)這些cookie示例的直接鏈接。