cookie的分类:

1》会话cookie:

是一种临时的cookie,它记录了用户访问站点时的设置和偏好,关闭浏览器,会话cookie就被删除了

2》持久化cookie:存储在硬盘上,不同的操作系统,不同的浏览器存储的位置不一样,不管浏览器退出,或电脑重启,持久cookie都存在。持久cookie有过期时间。

 cookie以及其他静态资源的存放位置:


checkpoint spark 持久化 持久化cookie_Web

 

 

3》使用和禁用cookie

checkpoint spark 持久化 持久化cookie_HTTP_02

4》Fiddler查看HTTP中的Cookie

浏览器发给web服务器的cookie

与web服务器发给浏览器的cookie

 

Web服务器通过HTTP Response中的"Set-Cookie: header"把cookie发送给浏览器

浏览器把cookie通过HTTP Request 中的“Cookie: header”发送给Web服务器

 

checkpoint spark 持久化 持久化cookie_Web_03

 

 

 

5》关于网站自动登录的原理

checkpoint spark 持久化 持久化cookie_web服务器_04

 

当你选中 自动登录后,

这时,在你的机器上保存好了登录的cookie,

当我们下次访问此网站

浏览器首先会出硬盘中查找关于此网站的cookie,

然后把cookie放到http requeset中,在把request发给web服务器

 

web服务器直接返回登录后的首页,你已经登录成功了

 

————————————————————————————————————————

6》截取cookie可以进行身份冒充{cookie欺骗}

识别是不是登录用户,可以通过cookie或者接口来判断

 

我知道有两种方法可以截获他人的cookie,·

1. 通过XSS脚步攻击, 获取他人的cookie. 具体原理可以看 [Web安全性测试之XSS]

2. 想办法获取别人电脑上保存的cookie文件(这个比较难)

 

Cookie 泄露隐私

2013年央视的315晚会上, 曝光了很多不法公司利用Cookie跟踪并采集用户的个人信息,并转卖给网络广告商,形成了一条窃取用户信息的灰色产业链。从而实现广告准确投放。严重干扰了用户的正常网络应用,侵害了个人的隐私和利益。·

我经常就在门户网站上发现广告位上显示的是我在电商网站上流量过的商品。  这就是我的cookie被泄露了。

 

目前在欧洲, 已经对Cookie立法, 如果网站需要保存用户的cookie, 必须弹出一个对话框,要用户确认后才能保存Cookie.

9》

P3P协议

从上面看来, Cookie 是一个比较容易泄露用户隐私和危险的东西。  有没有办法保护个人用户隐私呢?    那就是P3P协议

P3P是一种被称为个人隐私安全平台项目(the Platform for Privacy Preferences)的标准,能够保护在线隐私权,使Internet冲浪者可以选择在浏览网页时,是否被第三方收集并利用自己的个人信息。如果一个 站点不遵守P3P标准的话,那么有关它的Cookies将被自动拒绝,并且P3P还能够自动识破多种Cookies的嵌入方式。p3p是由全球资讯联盟网 所开发的。