本文面向对cookie有基本了解的读者,小白出门左转 设置cookie (HTTP 响应头)Set-Cookie: {name}={value};path={path};domain={domain};expires={expires},secure;HttpOnly;(多个 ...
本文面向对cookie有基本了解的读者,小白出门左转
设置cookie (HTTP 响应头)
Set-Cookie: {name}={value};path={path};domain={domain};expires={expires},secure;HttpOnly;
(多个cookie就发送多个Set-Cookie头)
发送cookie (HTTP 请求头)
Cookie: {name}={value};{name2}={value2} (多个cookie以";"号隔开)
请求头格式比较简单,这里主要说下响应头
name | cookie名称 |
value | cookie值,部分语言会有子cookie实现,格式为 {key1}={value1}&{key2}={value2} |
path | cookie有效路径,不同语言默认策略不一样,部分语言默认"/",部分语言默认当前页面所在目录 |
domain | cookie有效域名,默认当前域名,二级域名可以访问主域名下的cookie(需要以"."开头,如".aaa.com"),三级域名可以访问二级域名下的cookie,以此类推。 如果当前访问的是www.aaa.com,而设置Domain为www.bbb.com,则属于第三方cookie(下边详述) |
expires | cookie有效期,不设置默认当前session,浏览器关闭则cookie失效,如果expires时间早于浏览器时间,则cookie立即失效 |
secure | 带上这个标识表示只有在https协议的请求中才发送此cookie |
HttpOnly | 表示cookie只允许通过服务器修改,客户端js不允许修改 |
cookie跨域
如www.aaa.com和bla.aaa.com 设置cookie的domain为".aaa.com"
如www.aaa.com和www.bbb.com 设置第三方cookie
第三方Cookie
访问www.aaa.com的时候设置了一个domain=www.bbb.com的cookie,对于www.aaa.com来说,这个cookie就是第三方的
比如,两个不同域名的网站做sso,如www.tmall.com和www.taobao.com,www.sina.com和www.weibo.com
比如,广告服务商追踪用户行为,根据用户浏览记录给用户推荐更符合胃口的广告(这里存在隐私泄漏风险,因为广告服务商可以获取用户的浏览记录)
以广告追踪为例子,www.ccc.com是个广告服务供应商,www.aaa.com和www.bbb.com想接入它的广告
www.aaa.com和www.bbb.com在所有页面上加一行代码:<script type="text/javascript" src='/images/loading.gif' data-original="http://www.ccc.com:1234/ads.aspx"></script>
www.ccc.com在ads.aspx页面上种下一个domain=www.ccc.com的cookie,这样www.aaa.com和www.bbb.com的所有页面在打开的时候都会给www.ccc.com发送一个带cookie的请求,www.ccc.com拿到这个cookie后就可以区分用户了,然后通过referer拿到用户正在浏览的页面地址,就可以掌握用户的浏览行为了
由上可见,如果一个广告服务商接入的客户足够多,就可以掌握一个用户大多数的浏览行为,因为这个用户浏览的大多数网站可能都是这个服务商的客户,而且他们共用一个cookie
浏览器 | 默认设置是否支持第三方cookie | DNT设置 | 如何阻止第三方cookie |
Chrome | 是 | 设置-随浏览器一起发送"不跟踪"请求 | 设置-内容设置-阻止第三方cookie和网站数据 |
Firefox | 是 | 选项-隐私-要求此网站不要跟踪您 | 选项-隐私-使用自定义历史记录设置-接受第三方cookie-总不 |
IE | 需要额外的P3P响应头 | 选项-高级-向你在IE中访问的站点发送"Do Not Track"请求 | 选项-隐私-高级-替代自动cookie处理-第三方cookie-阻止 |
IE的默认安全性等级为中,将阻止没有精简隐私策略的第三方cookie,具体P3P协议详情,请参考http://www.w3.org/P3P/。这里给个P3P的例子:
异类 falsh cookie
这货太变态,不在本文讨论范围内,有兴趣的可以自行百度之
总而言之就一句话,cookie能干的它能干,cookie不能干的它也能干,当然cookie没有的问题它也有了
原标题:cookie那些事
关键词:ie
*特别声明:以上内容来自于网络收集,著作权属原作者所有,如有侵权,请联系我们:
admin#shaoqun.com
(#换成@)。