cookie那些事_html/css_WEB-ITnose
时间:2021-07-01 10:21:17
帮助过:17人阅读
本文面向对cookie有基本了解的读者,小白出门左转
设置cookie (HTTP 响应头)
Set-Cookie: {name}={value};path={path};domain={domain};expires={expires},secure;HttpOnly;
(多个cookie就发送多个Set-Cookie头)
发送cookie (HTTP 请求头)
Cookie: {name}={value};{name2}={value2} (多个cookie以";"号隔开)
请求头格式比较简单,这里主要说下响应头
| name | cookie名称 |
| value | cookie值,部分语言会有子cookie实现,格式为 {key1}={value1}&{key2}={value2} |
| path | cookie有效路径,不同语言默认策略不一样,部分语言默认"/",部分语言默认当前页面所在目录 |
| domain | cookie有效域名,默认当前域名,二级域名可以访问主域名下的cookie(需要以"."开头,如".aaa.com"),三级域名可以访问二级域名下的cookie,以此类推。 如果当前访问的是www.aaa.com,而设置Domain为www.bbb.com,则属于第三方cookie(下边详述) |
| expires | cookie有效期,不设置默认当前session,浏览器关闭则cookie失效,如果expires时间早于浏览器时间,则cookie立即失效 |
| secure | 带上这个标识表示只有在https协议的请求中才发送此cookie |
| HttpOnly | 表示cookie只允许通过服务器修改,客户端js不允许修改 |
cookie跨域
主域名相同
如www.aaa.com和bla.aaa.com 设置cookie的domain为".aaa.com"
主域名不同
如www.aaa.com和www.bbb.com 设置第三方cookie
第三方Cookie
什么是第三方cookie?
访问www.aaa.com的时候设置了一个domain=www.bbb.com的cookie,对于www.aaa.com来说,这个cookie就是第三方的
哪些场景需要第三方cookie?
比如,两个不同域名的网站做sso,如www.tmall.com和www.taobao.com,www.sina.com和www.weibo.com
比如,广告服务商追踪用户行为,根据用户浏览记录给用户推荐更符合胃口的广告(这里存在隐私泄漏风险,因为广告服务商可以获取用户的浏览记录)
怎么做?
以广告追踪为例子,www.ccc.com是个广告服务供应商,www.aaa.com和www.bbb.com想接入它的广告
www.aaa.com和www.bbb.com在所有页面上加一行代码:
www.ccc.com广告服务商ads.aspx代码
private static IDictionary> histories = new Dictionary>();
protected void Page_Load(object sender, EventArgs e){ Response.ContentType = "text/javascript"; //用户开启了浏览器"不跟踪"选项 if (!string.IsNullOrWhiteSpace(Request.Headers.Get("DNT")) && int.Parse(Request.Headers.Get("DNT")) == 1) { Response.Write(@"document.write('用户开启了浏览器Do Not Track选项,我比较讲究,遵守这个约定,不跟踪你了,只能给你展示大众版的广告了');"); return; } var uuid = Request.Cookies["uuid"]; //种第三方cookie if (uuid == null) { uuid = new HttpCookie("uuid") { Value = Guid.NewGuid().ToString(), Domain = "www.ccc.com", Expires = DateTime.Now.AddYears(70), }; Response.Cookies.Add(uuid); //使用P3P协议提高cookie种上的概率 Response.Headers.Add("P3P", "CP=\"CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR\""); } //获取用户正在浏览的网址 var referer = Request.Headers.Get("Referer"); //记录用户访问历史 if (!histories.ContainsKey(uuid.Value)) { histories[uuid.Value] = new List(); } histories[uuid.Value].Add(DateTime.Now + ": " + referer); Response.Write(@"document.write('
blabla这里是根据你浏览的网址给你推荐最合适的广告'+ ',不要问我怎么知道哪个网址有什么内容,也不要问我怎么知道哪些广告最适合你,我会告诉你我有高大上的算法嘛
');"); Response.Write(@"document.write('下边是你的浏览记录(不好意思,我看到了羞羞的东东):
');"); foreach (string history in histories[uuid.Value]) { Response.Write("document.write('" + history + "
');"); }}
www.aaa.com和www.bbb.com页面代码
打开www.aaa.com和www.bbb.com页面
异类 falsh cookie
这货太变态,不在本文讨论范围内,有兴趣的可以自行百度之
总而言之就一句话,cookie能干的它能干,cookie不能干的它也能干,当然cookie没有的问题它也有了
