cookie那些事

本文面向对cookie有基本了解的读者，小白出门左转

设置cookie (HTTP 响应头)

Set-Cookie: {name}={value};path={path};domain={domain};expires={expires},secure;HttpOnly;

(多个cookie就发送多个Set-Cookie头)

发送cookie (HTTP 请求头)

Cookie: {name}={value};{name2}={value2} (多个cookie以";"号隔开)

请求头格式比较简单，这里主要说下响应头

cookie跨域

• 主域名相同

如www.aaa.com和bla.aaa.com 设置cookie的domain为".aaa.com"

• 主域名不同

如www.aaa.com和www.bbb.com 设置第三方cookie

第三方Cookie

• 什么是第三方cookie?

访问www.aaa.com的时候设置了一个domain=www.bbb.com的cookie，对于www.aaa.com来说，这个cookie就是第三方的

• 哪些场景需要第三方cookie？

比如，两个不同域名的网站做sso，如www.tmall.com和www.taobao.com，www.sina.com和www.weibo.com

比如，广告服务商追踪用户行为，根据用户浏览记录给用户推荐更符合胃口的广告(这里存在隐私泄漏风险，因为广告服务商可以获取用户的浏览记录)

• 怎么做？

以广告追踪为例子，www.ccc.com是个广告服务供应商，www.aaa.com和www.bbb.com想接入它的广告

1. www.aaa.com和www.bbb.com在所有页面上加一行代码：<script type="text/javascript" src='/images/loading.gif' data-original="http://www.ccc.com:1234/ads.aspx"></script>

2. www.ccc.com在ads.aspx页面上种下一个domain=www.ccc.com的cookie，这样www.aaa.com和www.bbb.com的所有页面在打开的时候都会给www.ccc.com发送一个带cookie的请求，www.ccc.com拿到这个cookie后就可以区分用户了，然后通过referer拿到用户正在浏览的页面地址，就可以掌握用户的浏览行为了

由上可见，如果一个广告服务商接入的客户足够多，就可以掌握一个用户大多数的浏览行为，因为这个用户浏览的大多数网站可能都是这个服务商的客户，而且他们共用一个cookie

• 浏览器设置
  
  

1. IE的默认安全性等级为中，将阻止没有精简隐私策略的第三方cookie，具体P3P协议详情，请参考http://www.w3.org/P3P/。这里给个P3P的例子：
   P3P:CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"

2. DNT设置后，请求头中会加上 DNT:1，如果网站遵守DNT协议，就不再种第三方cookie了，但也可以耍赖不遵守，全看素质

3. 如果用户设置阻止第三方cookie了，那对不起，所有第三方cookie就无效了

Cookie安全

由于cookie记录了用户的身份，因此成为攻击者的热门攻击对象，开发者稍有疏忽，就可能节操不保

这里列举下可能的攻击方式，详情请自行百度之，总之不要相信cookie，不要放未加密的敏感信息到cookie中，cookie在使用前要校验，合理使用secure和HttpOnly，由于第三方cookie的存在，敏感的操作需要验证，不要相信正在操作的人就是当前登录的用户

XSS，反射型XSS，session劫持，CSRF攻击

第三方cookie代码实例(asp.net)

www.ccc.com是广告服务提供商,www.aaa.com和www.bbb.com接入它的广告

1. 修改host 

   127.0.0.1 www.aaa.com www.bbb.com www.ccc.com

   
   

    

2. www.ccc.com广告服务商ads.aspx代码

   private static IDictionary<string,IList<string>> histories = new Dictionary<string, IList<string>>();
   protected void Page_Load(object sender, EventArgs e){  Response.ContentType = "text/javascript";  //用户开启了浏览器"不跟踪"选项  if (!string.IsNullOrWhiteSpace(Request.Headers.Get("DNT")) && int.Parse(Request.Headers.Get("DNT")) == 1)  {    Response.Write(@"document.write('用户开启了浏览器Do Not Track选项，我比较讲究，遵守这个约定，不跟踪你了，只能给你展示大众版的广告了');");    return;  }  var uuid = Request.Cookies["uuid"];  //种第三方cookie  if (uuid == null) {    uuid = new HttpCookie("uuid")    {      Value = Guid.NewGuid().ToString(),      Domain = "www.ccc.com",      Expires = DateTime.Now.AddYears(70),    };    Response.Cookies.Add(uuid);    //使用P3P协议提高cookie种上的概率    Response.Headers.Add("P3P", "CP=\"CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR\"");  }  //获取用户正在浏览的网址  var referer = Request.Headers.Get("Referer");  //记录用户访问历史  if (!histories.ContainsKey(uuid.Value)) {    histories[uuid.Value] = new List<string>();  }  histories[uuid.Value].Add(DateTime.Now + ": " + referer);  Response.Write(@"document.write('<br><br>blabla这里是根据你浏览的网址给你推荐最合适的广告'+      '，不要问我怎么知道哪个网址有什么内容，也不要问我怎么知道哪些广告最适合你，我会告诉你我有高大上的算法嘛<br><br>');");  Response.Write(@"document.write('下边是你的浏览记录(不好意思，我看到了羞羞的东东):<br>');");  foreach (string history in histories[uuid.Value]) {    Response.Write("document.write('" + history + "<br>');");  }}

   
   

    

3. www.aaa.com和www.bbb.com页面代码

   <script type="text/javascript" src='/images/loading.gif' data-original="http://www.ccc.com:1234/ads.aspx"></script>

   
   

    

4. 打开www.aaa.com和www.bbb.com页面
   
   

异类 falsh cookie

这货太变态，不在本文讨论范围内，有兴趣的可以自行百度之

总而言之就一句话，cookie能干的它能干，cookie不能干的它也能干，当然cookie没有的问题它也有了

原标题：cookie那些事

关键词：ie