- 浏览: 289394 次
- 性别:
- 来自: 郑州
文章分类
最新评论
-
ms143014:
很详细
JS 中 Tween 的使用 -
yunmoxue:
qdpurple 写道谢谢! 我是一个应届毕业生,刚参加jav ...
网上简历投递技巧 -
yunmoxue:
atgoingguoat 写道查询 MYSQL 表中文名称,怎 ...
mysql查看数据库和表的信息 -
atgoingguoat:
查询 MYSQL 表中文名称,怎么写?
mysql查看数据库和表的信息 -
blacksoul7:
hoho
php 和 apache 下载,安装,配置,测试
原文地址:http://blog.laifangwen.com/htmldata/bianchengkaifa/2008/11/19/127.html
提起Cookies,搞web的人总是在争论,有支持有反对,但用的人还是很多,包括google都广泛的采用,那么我们用用也就无可非议。
下面的内容主要介绍如何使用cookie以及js的编程脚本,相信你如果想要了解和学习cookie,那么应该认真的阅读下面的文字,通过这些文字的介绍,您一定可以成为使用cookie的大师级人物。
如果你象作者一样记性不好,那么你可能根本记不住人们的名字。我遇到人时,多半只是点点头,问句“吃了嘛!”,而且期望问候到此为止。如果还需要表示些什么,那么我就得求助于一些狡猾的技巧,好让我能想对方是谁。比如胡扯起一些和对方有关的人,不管他们之间关系多远,只要能避免不记得对方名字的尴尬就好: “你隔壁邻居的侄子的可爱小狗迈菲斯特怎么样?”通过这个方法,我希望能让对方感到,我确实很重视他(她),甚至还记得这些琐事,虽然实际上连名字都忘记了。但是,不是我不重视,而是我的记忆力实在是糟糕,而且要记住的名字又实在太多。如果我能给每个人设置cookies,那么我就不会再犯这种记忆力问题了。
在这篇文章里,我们要学习:
1. 什么是 Cookies?
2. Cookie 的构成
3. 操纵 Cookies
4. Cookie 怪兽
什么是Cookies?
你会问,什么是cookies呢? cookie 是浏览器保存在用户计算机上的少量数据。它与特定的WEB页或WEB站点关联起来,自动地在WEB浏览器和WEB服务器之间传递。
比如,如果你运行的是Windows操作系统,使用Internet Explorer上网,那么你会发现在你的“Windows”目录下面有一个子目录,叫做“Temporary Internet Files”。如果你有空看看这个目录,就会发现里面有一些文件,文件名称看起来就象电子邮件地址。比如在我机器上的这个目录里,就有 “jim@support.microsoft.com”这样的文件。这是一个cookie 文件,这个文件从哪来呢?猜一猜,它来自微软的支持站点。顺便说一句,这不是我的电子邮件地址,特此澄清。
对于管理细小的、不重要的、不想保存在中央数据库里的细节信息,Cookies 是个很不错的方案。(这不是说大家的名字不重要。)比如,目前网站上不断增长的自定义服务,可以为每个用户定制他们要看的内容。如果你设计的就是这样一个站点,那么你怎么来管理这样的信息:一个用户喜欢绿色的菜单条,而另一个喜欢红色的。确实是个累人的问题。不过,这样的信息,可以很安全地记录到cookie,并保存在用户的计算机上,而你自己的数据库空间可以留给更长久更有意义的数据。
FYI: Cookies 对于安全用途,通常很有用。我不想在此就这一问题过于深入,只是提供一个示例,可以看到如何使用在一段时间之后过期的cookies来保证站点安全:
1. 使用用户名和口令,通过 SSL 登录。
2. 在服务器的数据库里检查用户名和口令。如果登录成功,建立一个当前时间标签的消息摘要 (比如 MD5) ,并把它保存在cookie和服务器数据库里。把用户的登录时间保存在服务器数据库里面的用户记录里。
3. 在进行每个安全事务时(用户处于登录状态的任何事务),把cookie的消息摘要和保存在服务器数据库里的摘要进行比较,如果比较失败,就把用户引导到登录界面。
4. 如果第3步检查通过,那么检查当前时间和登录时间之音经过的时间是否超过允许的时间长度。如果用户已经超时,那么就把用户引到登录界面。
5. 如果第3步和第4步都通过了,那么把登录时间重新设置成当前时间,允许事务发生。那些需要你登录的安全站点,可能多数使用的都是和这里介绍的类似的方法。
Cookie的构成
Cookies最初设计时,是为了CGI编程。但是,我们也可以使用Javascript脚本来操纵cookies。在本文里,我们将演示如何使用Javascript脚本来操纵cookies。(如果有需求,我可能会在以后的文章里介绍如何使用Perl进行cookie管理。但是如果实在等不得,那么我现在就教你一手:仔细看看CGI.pm。在这个CGI包里有一个cookie()函数,可以用它建立cookie。但是,还是让我们先来介绍cookies的本质。
在Javascript脚本里,一个cookie 实际就是一个字符串属性。当你读取cookie的值时,就得到一个字符串,里面当前WEB页使用的所有cookies的名称和值。每个cookie除了name名称和value值这两个属性以外,还有四个属性。这些属性是: expires过期时间、 path路径、 domain域、以及 secure安全。
Expires – 过期时间。指定cookie的生命期。具体是值是过期日期。如果想让cookie的存在期限超过当前浏览器会话时间,就必须使用这个属性。当过了到期日期时,浏览器就可以删除cookie文件,没有任何影响。
Path – 路径。指定与cookie关联的WEB页。值可以是一个目录,或者是一个路径。如果http://laifangwen.com/html/java/建立了一个cookie,那么在http://laifangwen.com/html/java/目录里的所有页面,以及该目录下面任何子目录里的页面都可以访问这个cookie。这就是说,在http://laifangwen.com/html/java/stories/articles 里的任何页面都可以访问http://laifangwen.com/html/java/index.html建立的cookie。但是,如果http://laifangwen.com/html/asp/ 需要访问http://laifangwen.com/html/java/index.html设置的cookes,该怎么办?这时,我们要把cookies 的path属性设置成“/”。在指定路径的时候,凡是来自同一服务器,URL里有相同路径的所有WEB页面都可以共享cookies。现在看另一个例子:如果想让 http://laifangwen.com/devhead/filters/ 和http://laifangwen.com/devhead/stories/共享cookies,就要把path设成“/devhead”。
Domain – 域。指定关联的WEB服务器或域。值是域名,比如laifangwen.com。这是对path路径属性的一个延伸。如果我们想让 blog.laifangen.com 能够访问www.laifangwen.com设置的cookies,该怎么办? 我们可以把domain属性设置成“laifangwen.com”,并把path属性设置成“/”。FYI:不能把cookies域属性设置成与设置它的服务器的所在域不同的值。
Secure – 安全。指定cookie的值通过网络如何在用户和WEB服务器之间传递。这个属性的值或者是“secure”,或者为空。缺省情况下,该属性为空,也就是使用不安全的HTTP连接传递数据。如果一个 cookie 标记为secure,那么,它与WEB服务器之间就通过HTTPS或者其它安全协议传递数据。不过,设置了secure属性不代表其他人不能看到你机器本地保存的cookie。换句话说,把cookie设置为secure,只保证cookie与WEB服务器之间的数据传输过程加密,而保存在本地的cookie文件并不加密。如果想让本地cookie也加密,得自己加密数据。
操纵Cookies
请记住,cookie就是文档的一个字符串属性。要保存cookie,只要建立一个字符串,格式是name=<value>(名称=值),然后把文档的 document.cookie 设置成与它相等即可。比如,假设想保存表单接收到的用户名,那么代码看起来就象这样:
document.cookie = "username" + escape(form.username.value);
在这里,使用 escape() 函数非常重要,因为cookie值里可能包含分号、逗号或者空格。这就是说,在读取cookie值时,必须使用对应的unescape()函数给值解码。
我们当然还得介绍cookie的四个属性。这些属性用下面的格式加到字符串值后面:
name=<value>[; expires=<date>][; domain=<domain>][; path=<path>][; secure]
名称=<值>[; expires=<日期>][; domain=<域>][; path=<路径>][; 安全]
<value>, <date>, <domain> 和 <path> 应当用对应的值替换。<date> 应当使用GMT格式,可以使用Javascript脚本语言的日期类Date的.toGMTString() 方法得到这一GMT格式的日期值。方括号代表这项是可选的。比如在 [; secure]两边的方括号代表要想把cookie设置成安全的,就需要把"; secure" 加到cookie字符串值的后面。如果"; secure" 没有加到cookie字符串后面,那么这个cookie就是不安全的。不要把尖括号<> 和方括号[] 加到cookie里(除非它们是某些值的内容)。设置属性时,不限属性,可以用任何顺序设置。
下面是一个例子,在这个例子里,cookie "username" 被设置成在15分钟之后过期,可以被服务器上的所有目录访问,可以被"mydomain.com"域里的所有服务器访问,安全状态为安全。
// Date() 的构造器设置以毫秒为单位
// .getTime() 方法返回时间,单位为毫秒
// 所以要设置15分钟到期,要用60000毫秒乘15分钟
var expiration = new Date((new Date()).getTime() + 15 * 60000);
document.cookie = "username=" + escape(form.username.value)+ "; expires ="
+ expiration.toGMTString() + "; path=" + "/" + "; _
domain=" + "mydomain.com" + "; secure";
读取cookies值有点象个小把戏,因为你一次就得到了属于当前文档的所有cookies。
// 下面这个语句读取了属于当前文档的所有cookies
var allcookies = document.cookie;
现在,我们得解析allcookies变量里的不同cookies,找到感兴趣的指定cookie。这个工作很简单,因为我们可以利用Javascript语言提供的扩展字符串支持。
如果我们对前面分配的cookie "username" 感兴趣,可以用下面的脚本来读取它的值。
// 我们定义一个函数,用来读取特定的cookie值。
function getCookie(cookie_name)
{
var allcookies = document.cookie;
var cookie_pos = allcookies.indexOf(cookie_name);
// 如果找到了索引,就代表cookie存在,
// 反之,就说明不存在。
if (cookie_pos != -1)
{
// 把cookie_pos放在值的开始,只要给值加1即可。
cookie_pos += cookie_name.length + 1;
var cookie_end = allcookies.indexOf(";", cookie_pos);
if (cookie_end == -1)
{
cookie_end = allcookies.length;
}
var value = unescape(allcookies.substring(cookie_pos, cookie_end));
}
return value;
}
// 调用函数
var cookie_val = getCookie("username");
上面例程里的 cookie_val 变量可以用来生成动态内容,或者发送给服务器端CGI脚本进行处理。现在你知道了使用Javascript脚本操纵cookies的基本方法。但是,如果你跟我一样,那么我们要做的第一件事,就是建立一些接口函数,把cookies处理上的麻烦隐藏起来。不过,在你开始编程之前,稍候片刻。这些工作,早就有人替你做好了。你要做的,只是到哪去找这些接口函数而已。
比如,在David Flangan的Javascript: The Definitive Guide 3rd Ed.这本书里,可以找到很好的cookie应用类。你也可以在Oreilly的WEB站点上找到这本书里的例子。本文最后的链接列表里,有一些访问这些cookie示例的直接链接。
Cookies 怪兽
因为某些原因Cookies 的名声很不好。许多人利用cookies做一些卑鄙的事情,比如流量分析、点击跟踪。Cookies 也不是非常安全,特别是没有secure属性的cookies。不过,即使你用了安全的cookies,如果你和别人共用计算机,比如在网吧,那么别人就可以窥探计算机硬盘上未加密保存的cookie文件,也就有可能窃取你的敏感信息。所以,如果你是一个WEB开发人员,那么你要认真考虑这些问题。不要滥用cookies。不要把用户可能认为是敏感的数据保存在cookies里。如果把用户的社会保险号、信用卡号等保存在cookie里,等于把这些敏感信息放在窗户纸下,无异于把用户投到极大危险之中。一个好的原则是,如果你不想陌生人了解你的这些信息,那就不要把它们保存在cookies里。
另外,cookies还有一些实际的限制。Cookies保留在计算机上,不跟着用户走。如果用户想换计算机,那么新计算机无法得到原来的cookie。甚至用户在同一台计算机上使用不同浏览器,也得不到原来的cookie:Netscape 不能读取Internet Explorer 的cookies。
还有,用户也不愿意接受cookies。所以不要以为所有的浏览器都能接受你发出的cookies。如果浏览器不接受cookies,你要保证自己的WEB站点不致因此而崩溃或中断。
另外WEB 浏览器能保留的cookies不一定能超过300个。也没有标准规定浏览器什么时候、怎么样作废cookies。所以达到限制时,浏览器能够有效地随机删除cookies。浏览器保留的来自一个WEB服务器上的cookies,不超过20个,每个cookie的数据(包括名称和值),不超过4K字节。(不过,本文里的cookie尺寸没问题,它只占了12 K字节,保存在3个3 cookies里。)
简而言之,注意保持cookie简单。不要依赖cookies的存在,不要在每个cookie里保存太多信息。不要保存太多的cookes。但是,抛除这些限制,在技巧高超的WEB管理员手里,cookie的概念是一个有用的工具。
外部链接
每个 Javascript 程序员都应当有一份Javascript: David Flanagan 的The Definitive Guide。 这本书里找到cookie 类例程可以帮助你把不止一个变量编码到单一的cookie,克服掉“每个WEB服务器20 个cookies的限制”。
发表评论
-
FireFox3 IE8 图片预览
2009-12-07 13:15 1544http://luolonghao.iteye.com/blo ... -
jQuery对象与dom对象的转换
2009-11-04 10:32 1119原文地址:http://www.ccvita.com/192. ... -
收集juqery资料
2009-09-27 22:30 1118使用jQuery及Bing API实现简易搜索引擎 http ... -
隔行变色
2009-06-15 02:02 1316<html> <head> < ... -
如何在javascript文件中写中文
2009-05-20 10:19 1196如果你用的是Eclipse 打开 window->pre ... -
escape(), encodeURI()和encodeURIComponent()之精析与比较
2009-05-11 16:14 1414尊重原创,原创地址:http://hi.baidu.com/g ... -
tomcat 使用 数据池
2009-03-25 17:14 990在使用的时候,需要将 欲连接数据库的jar包放到tomcat主 ... -
jvascript 事件 帮助文档
2009-03-05 15:40 1047我在学习使用js时,最有用处的帮助文档 -
js添加div
2009-02-28 21:38 6341一. 添加div 不指添加div,添加其他元素都可以通过这 ... -
许愿墙|爱墙 js代码
2009-02-27 12:09 3562拖动效果可以看这里:http://www.cnblogs.co ... -
添加select的option
2009-02-19 14:46 1184<html> <head> < ... -
清除下拉列表
2009-02-18 20:14 1284特别管用- - document.getElementById ... -
javascript连接sqlserver
2009-02-18 16:10 2956源代码: http://bbs.ntcsoft.com/dis ... -
随滚动条滚动广告
2009-02-15 16:22 1508图片大家自己找 把<img src="&quo ... -
滚动的状态栏
2009-02-15 16:13 1030<html> <head>< ... -
什么是节点
2009-02-13 17:54 1776从<html>开始,到</html> ... -
可拖动的层
2009-02-09 14:09 1128<html> <head> < ... -
树形结构
2009-02-07 18:52 1348<html> <head> <t ... -
层的切换
2009-02-07 17:39 1140<html> <head> & ... -
什么是原始事件模型
2009-02-06 10:40 2103这几天一直在写 原始事 ...
相关推荐
### JavaScript操纵Cookie实现购物车程序 #### 概述 在电子商务网站中,购物车功能是不可或缺的一部分。通过JavaScript操作Cookie可以实现一个简单的购物车系统。本文档将详细解析如何使用JavaScript来操纵Cookie...
### JavaScript操纵Cookie实现购物车程序 #### 概述 本文档详细介绍了一种使用JavaScript与客户端Cookie相结合的方法,来实现一个简单的购物车程序。通过这种方式,可以有效地存储用户的购物车信息,即使用户离开...
**文件列表中的 "js+cookie购物车"** 这个文件很可能是包含示例代码的资源,包括 JavaScript 文件和可能的 HTML 模板,用于演示如何结合使用 JavaScript 和 Cookie 实现购物车功能。你可以下载并研究这些文件,以更...
在网络安全领域,Cookie攻击是一种常见的攻击手段,通过操纵用户的Cookie来实现对网站功能的非授权访问或篡改。此类攻击通常涉及Cookie注入、Cookie欺骗等多种手法。 ### Cookie格式与特点 #### Cookie文件命名...
4. **Web APIs**:浏览器提供了一系列的Web APIs供JavaScript调用,如`Document.cookie` API,允许开发者在JavaScript中操作Cookie。这个Demo可能利用了这些API来获取和解析Cookie数据。 5. **跨域问题**:由于...
- 使用注入中转工具,攻击者可以监听或操纵受害者的网络流量,捕获其Cookie。 - 一旦获取到Cookie,攻击者可以将这些Cookie注入到自己的浏览器中,伪装成受害者访问网站,执行权限内的操作。 5. **防范措施**: ...
另一项重要措施是使用HttpOnly标志,这样可以防止JavaScript代码访问Cookie,从而降低通过跨站脚本攻击(XSS)窃取Cookie的风险。 对于用户而言,保持良好的网络安全习惯同样重要。比如,避免在公共Wi-Fi环境下处理...
- **跨站点脚本(XSS)**:利用XSS漏洞,攻击者可以植入恶意JavaScript代码,读取用户的Cookie信息。 - **跨站请求伪造(CSRF)**:攻击者构建含有恶意链接的页面,诱使用户点击,利用用户已登录状态的Cookie执行未经...
这种漏洞源于开发者未能正确过滤外部输入,使得攻击者可以通过注入换行符来操纵响应头,从而添加新的响应头、伪造响应内容或执行JavaScript。修复此类问题的关键在于对所有输出到HTTP响应头的用户输入进行严格的...
- 当Web应用程序处理Cookie的方式存在漏洞时,攻击者可以通过注入恶意Cookie来操纵用户的会话,比如假冒身份、访问未授权资源或执行其他恶意操作。 - 这种攻击通常发生在应用程序未能充分验证或清理用户输入的情况...
这个系统可能由于编程不当,允许攻击者通过未正确过滤的输入来操纵Cookie值,从而可能导致敏感信息泄露或者权限提升。 在Web开发中,Cookie通常用于存储用户状态和会话信息,比如登录状态、用户ID等。当程序员在...
JavaScript对象,数组,字符串,使用正则表达式操纵字符串,客户端,控制文档结构的模型,JavaScript事件驱动模型,CSS,Cookie,XML和JSON,Ajax,深入JavaScript面向对象编程,深入JavaScript函数式编程,深入...
《JavaScript入门经典(第3版)》还介绍了如何操纵最新版本浏览器所提供的BOM对象。在《JavaScript入门经典(第3版)》的高级主题中,将介绍如何使用cookie,以及如何应用DHTML技术使Web页面焕发动感和活力。另外,...
3. **客户端数据收集**:xhr-formHarvester.js和cookieHarvester.js等代码展示了如何通过JavaScript收集用户表单数据和Cookie信息,这对于了解数据泄露风险和执行数据窃取攻击至关重要。 4. **页面篡改与Defacement...
包括处理数字、字符串、数组、DOM导航、表单验证、窗口与框架操作、cookie管理、日期时间处理、图像处理、浏览器差异检测、结合CSS使用、动态HTML、时间与运动控制、DHTML菜单与导航、JavaScript与可访问性、与Flash...
本篇文章将深入探讨JavaScript开发技术中的几个关键概念,包括对象模型、事件处理、文档操作、Cookie以及文档对象模型(DOM)和正则表达式。 首先,对象模型是JavaScript的核心特性之一,它允许开发者通过对象来...
《JavaScript入门经典(第3版)》还介绍了如何操纵最新版本浏览器所提供的BOM对象。在《JavaScript入门经典(第3版)》的高级主题中,将介绍如何使用cookie,以及如何应用DHTML技术使Web页面焕发动感和活力。另外,...
书中从JavaScript语言基础开始,分别讨论了图像、框架、浏览器窗口、表单、正则表达式、用户事件和cookie,并在上一版的基础上新增了两章,讲述jQuery框架的基础知识。本书不仅介绍了基础知识和使用方法,也深入探讨...
《JavaScript入门经典(第3版)》还介绍了如何操纵最新版本浏览器所提供的BOM对象。在《JavaScript入门经典(第3版)》的高级主题中,将介绍如何使用cookie,以及如何应用DHTML技术使Web页面焕发动感和活力。另外,...