WEB安全实战（四）关于 Cookie

前言

这几天中，一直再跟漏洞打交道，而在这些漏洞中，出现的最多的就是 Cookie 和 Session 了。这篇文章就简单的介绍一些 Cookie 中最经常使用的四个属性。也算是为兴许的文章做一个铺垫吧。

废话不多说，直接进入正题。

属性

• Path（路径）

Path 是指定与 Cookie 关联的 Web 页。它的值能够是一个文件夹，或者是一个路径。

假设 http://www.china.com/test/index.html 建立了一个
cookie，那么在 http://www.china.com/test/ 文件夹里的全部页面，以及该文件夹以下不论什么子文件夹里的页面都能够訪问这个 cookie 。

这就是说，在 http://www.china.com/test/test2/test3 里的不论什么页面都能够訪问 http://www.china.com/test/index.html 建立的
cookie 。

可是，假设 http://www.china.com/test/ 须要訪问 http://www.china.com/test/index.html 设置的
cookies。该怎么办？

这时。我们要把 cookies 的 path 属性设置成“/”。

在指定路径的时候，凡是来自同一server。URL 里有同样路径的全部 WEB 页面都能够共享 cookies 。

• Domain（域）

Domain 是指定关联的 WEB server或域。

它的值是域名，比方 www.china.com 。这是对
path 路径属性的一个延伸。

假设我们想让  www.china.com 可以訪问 bbs.china.com 设置的 cookies，该怎么办? 我们可以把 Domain 属性设置成“china.com”，并把 path 属性设置成“/”。

• Secure（安全）

Secure 是指定 Cookie 的值通过网络怎样在用户和 WEB server之间传递。

这个属性的值或者是“secure”，或者为空。

缺省情况下，该属性值为空，也就是使用不安全的HTTP连接传递数据。假设一个 cookie 标记为 secure。那么，它与 WEB server之间就通过
HTTPS 或者其他安全协议传递数据。

只是。设置了 secure 属性不代表其他人不能看到你机器本地保存的 cookie 。换句话说。把 cookie 设置为 secure，仅仅保证 cookie 与 WEB server之间的传输数据过程加密，而保存在本地的 cookie 文件并不加密。假设想让本地 cookie 也加密。那就须要自己加密数据了。

• Expires（过期时间）

Expires 是指 Cookie 的生命期，确切地说是过期日期。假设想让 cookie 的存在期限超过当前浏览器的会话时间。就必须使用这个属性。当过了到期日期时。浏览器会自己主动删除 cookie 文件。

结束语

这一篇文章比較短。主要就是介绍一下 Cookie 的四个经常使用属性。并且。这四个属性对于 Web server的安全方面来说还是非常重要的。寻常我们搞开发时，经常会忽略这些“小”东东。

而非常多时候，忽略了这些“小”东东。就会给我们带来意想不到的问题。所以，在这里强调一下，也算是给自己提个醒。

好了。不早了。今天工作也挺累的，就不多说了。早点歇着吧。明天、后天还得加班呢。哎，好好的一个周末。又没了。