关于cookie

 

      前几天在记录用户信息时用到了cookie，由于cookie在写用户信息时含有特殊字符@，由于需求明确要求用户名带有@，纠结了一番。其实有个最好的解决方案，就是通过URLEncode来进行编码，在客户端可以通过URLDecode进行解码，由于用此方案需要各个模块改的东西比较多，网站其它模块依赖用户中心写用户信息的api，此动作需要涉及其它部门协调修改，最终没有使用这个方案。最后从头开始对cookie研究了一番，首先介绍一下cookie的一些基本信息。

    Cookie概念:

Cookie的格式实际上是一段纯文本信息, 由服务器随着网页一起发送到客户端, 并保存在客户端硬盘中指定的目录的. 大家都传说Cookie会造成严重的安全威胁什么的, 

其实不是这么回事情. 服务器读取Cookie的时候, 只能够读取到这个服务器相关的信息.。

而且, 浏览器一般只允许存放300个Cookie, 每个站点最多存放20个, 而且, 每个Cookie的大小现在在4K, 根本不会占用多少空间。并且 Cookie是有时效性质的. 例如, 设置了Cookie的存活时间为1分钟, 则一分钟后这个Cookie就会被浏览器删除。

    Cookie版本:

目前有两个版本:

版本0 : 由Netscape公司制定的，也被几乎所有的浏览器支持. Java中为了保持兼容性, 目前只支持到版本0, Cookie的内容中不能空格，方括号，圆括号，等于号（=），逗号，双引号，斜杠，问号，@符号，冒号，分号。

版本1 : 根据RFC 2109(http://www.ietf.org/rfc/rfc2109.txt)文档制定的. 放宽了很多限制. 上面所限制的字符都可以使用. 但为了保持兼容性, 应该尽量避免使用这些特殊字符。

 

    由于线上运行的tomcat服务器的版本是6.0.29，在写入cookie后，发现含有特殊字符@的用户名自动被tomcat加了两个双引号，tomcat6.0.16版本以下的tomcat不会存在以上问题。

在反复纠结后最终决定在http的header里写入带有@的用户名，通过方法request.addHeader("set-Cookie","name=xxx;value=123@163.com;"),发现cookie确实被写成功了且没有双引号，但是通过request.getCookie*()获取cookie时发现读取

的信息的不全了，比如cookie的值是123@163.com 使用request.getCookies()获取cookie的值得到的是123，而@符号后面的就没了。在tomcattomcat6.0.16版本以下不存在上述问题，读写含有@的cookie信息时正常的。

    于是看了大体看了一下tomcat关于cookie的处理。

    我首先选择了tomcat6.0.29的源码。org.apache.tomcat.util.http.Cookies的定义了一个特殊字符常量。

      public static final char[] SEPARATORS = { '\t', ' ', '"', '(', ')', ',', ':', ';', '<', '=', '>', '?', '@', '[', '\\', ']', '{', '}' };

      org.apache.tomcat.util.http.ServerCookie定义了如下变量和方法判断是否是非法字符。

      private static final String tspecials2 = "()<>@,;:\\\"/[]?={} \t";

      public static boolean isToken2(String value, String literals) {
	    String tspecials2 = literals == null ? "()<>@,;:\\\"/[]?={} \t" : literals;
	    if (value == null) return true;
	    int len = value.length();

	    for (int i = 0; i < len; i++) {
	      char c = value.charAt(i);
	      if (tspecials2.indexOf(c) != -1)
		return false;
	    }
	    return true;
      }

 

再具体看一下tomcat6.0.14版本对cookie的特殊字符的处理。org.apache.tomcat.util.http.ServerCookie定义了如下方法判断是否是非法字符。

public static boolean isToken2(String value) {

	    if (value == null) return true;
	    int len = value.length();

	    for (int i = 0; i < len; i++) {
	      char c = value.charAt(i);

	      if ((c < ' ') || (c >= '') || (",; \"".indexOf(c) != -1))
		return false;
	    }
	    return true;
	  }

  

 通过源码对比发现两个版本对cookie的特殊字符处理不同，导致了以上问题。所以在处理含有特殊字符的cookie时，最佳的解决方案是通过URL编码，js进行解码。

简要介绍一下js进行编码、解码通常的方法：

encodeURI() 函数可把字符串作为 URI 进行编码。该方法不会对 ASCII 字母和数字进行编码，也不会对这些 ASCII 标点符号进行编码： - _ . ! ~ * ' ( ) 。  该方法的目的是对 URI 进行完整的编码，因此对以下在 URI 中具有特殊含义的 ASCII 标点符号，encodeURI() 函数是不会进行转义的：;/?:@&=+$,#。如果 URI 组件中含有分隔符，比如 ? 和 #，则应当使用 encodeURIComponent() 方法分别对各组件进行编码，此方法的解码为decodeURI()。

  escape() 函数可对字符串进行编码，这样就可以在所有的计算机上读取该字符串。该方法不会对 ASCII 字母和数字进行编码，也不会对下面这些 ASCII 标点符号进行编码： - _ . ! ~ * ' ( ) 。其他所有的字符都会被转义序列替换， 可以使用 unescape() 对 escape() 编码的字符串进行解码。

  encodeURIComponent() 函数可把字符串作为 URI 组件进行编码。该方法不会对 ASCII 字母和数字进行编码，也不会对这些 ASCII 标点符号进行编码： - _ . ! ~ * ' ( ) 。  其他字符（比如 ：;/?:@&=+$,# 这些用于分隔 URI 组件的标点符号），都是由一个或多个十六进制的转义序列替换的，此方法解码方式decodeURIComponent。

 

  最好介绍一下cookie的生命周期，cookie的生命周期通常可以用cookie.setMaxAge(time)来的设定，time<0表示当前浏览器生效，time=0清除当前cookie，time>0表示当前cookie的

  时间单位为秒。但是在不同的tomcat版本和浏览器会有不同的情况，当TOMCAT服务器是6.0.16及一下版本时，则不支持含有特殊符号的cookie值，这样的cookie存储在浏览器全部关闭就就会失效。

          TOMCAT版本都是5.5，所以在IE下设置cookie值时，如果设置了version为1或者cookie中含有特殊符号，则存储的cookie不管是否设置了失效时间，都会在浏览器关闭后自动失效。