本文面向对cookie有基本了解的读者,小白出门左转

 

设置cookie (HTTP 响应头)

Set-Cookie: {name}={value};path={path};domain={domain};expires={expires},secure;HttpOnly;

(多个cookie就发送多个Set-Cookie头)

发送cookie (HTTP 请求头)

Cookie: {name}={value};{name2}={value2} (多个cookie以";"号隔开)

请求头格式比较简单,这里主要说下响应头

name cookie名称
value cookie值,部分语言会有子cookie实现,格式为 {key1}={value1}&{key2}={value2}
path cookie有效路径,不同语言默认策略不一样,部分语言默认"/",部分语言默认当前页面所在目录
domain cookie有效域名,默认当前域名,二级域名可以访问主域名下的cookie(需要以"."开头,如".aaa.com"),三级域名可以访问二级域名下的cookie,以此类推。 如果当前访问的是www.aaa.com,而设置Domain为www.bbb.com,则属于第三方cookie(下边详述)
expires cookie有效期,不设置默认当前session,浏览器关闭则cookie失效,如果expires时间早于浏览器时间,则cookie立即失效
secure 带上这个标识表示只有在https协议的请求中才发送此cookie
HttpOnly 表示cookie只允许通过服务器修改,客户端js不允许修改

 

cookie跨域

 

  • 主域名相同

如www.aaa.com和bla.aaa.com 设置cookie的domain为".aaa.com"

  • 主域名不同

如www.aaa.com和www.bbb.com 设置第三方cookie

第三方Cookie

  • 什么是第三方cookie?

访问www.aaa.com的时候设置了一个domain=www.bbb.com的cookie,对于www.aaa.com来说,这个cookie就是第三方的

  • 哪些场景需要第三方cookie?

比如,两个不同域名的网站做sso,如www.tmall.com和www.taobao.com,www.sina.com和www.weibo.com

比如,广告服务商追踪用户行为,根据用户浏览记录给用户推荐更符合胃口的广告(这里存在隐私泄漏风险,因为广告服务商可以获取用户的浏览记录)

  • 怎么做?

以广告追踪为例子,www.ccc.com是个广告服务供应商,www.aaa.com和www.bbb.com想接入它的广告

  1. www.aaa.com和www.bbb.com在所有页面上加一行代码:<script type="text/javascript" src="http://www.ccc.com:1234/ads.aspx"></script>

  2. www.ccc.com在ads.aspx页面上种下一个domain=www.ccc.com的cookie,这样www.aaa.com和www.bbb.com的所有页面在打开的时候都会给www.ccc.com发送一个带cookie的请求,www.ccc.com拿到这个cookie后就可以区分用户了,然后通过referer拿到用户正在浏览的页面地址,就可以掌握用户的浏览行为了

由上可见,如果一个广告服务商接入的客户足够多,就可以掌握一个用户大多数的浏览行为,因为这个用户浏览的大多数网站可能都是这个服务商的客户,而且他们共用一个cookie

  • 浏览器设置

浏览器 默认设置是否支持第三方cookie DNT设置 如何阻止第三方cookie
Chrome 设置-随浏览器一起发送"不跟踪"请求 设置-内容设置-阻止第三方cookie和网站数据
Firefox 选项-隐私-要求此网站不要跟踪您 选项-隐私-使用自定义历史记录设置-接受第三方cookie-总不
IE 需要额外的P3P响应头 选项-高级-向你在IE中访问的站点发送"Do Not Track"请求 选项-隐私-高级-替代自动cookie处理-第三方cookie-阻止

  1. IE的默认安全性等级为中,将阻止没有精简隐私策略的第三方cookie,具体P3P协议详情,请参考http://www.w3.org/P3P/。这里给个P3P的例子:
    P3P:CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"

  2. DNT设置后,请求头中会加上 DNT:1,如果网站遵守DNT协议,就不再种第三方cookie了,但也可以耍赖不遵守,全看素质

  3. 如果用户设置阻止第三方cookie了,那对不起,所有第三方cookie就无效了

Cookie安全

 

由于cookie记录了用户的身份,因此成为攻击者的热门攻击对象,开发者稍有疏忽,就可能节操不保

这里列举下可能的攻击方式,详情请自行百度之,总之不要相信cookie,不要放未加密的敏感信息到cookie中,cookie在使用前要校验,合理使用secure和HttpOnly,由于第三方cookie的存在,敏感的操作需要验证,不要相信正在操作的人就是当前登录的用户

XSS,反射型XSS,session劫持,CSRF攻击

第三方cookie代码实例(asp.net)

 

www.ccc.com是广告服务提供商,www.aaa.com和www.bbb.com接入它的广告

  1. 修改host

    127.0.0.1 www.aaa.com www.bbb.com www.ccc.com

  2. www.ccc.com广告服务商ads.aspx代码

    private static IDictionary<string,IList<string>> histories = new Dictionary<string, IList<string>>();
    
protected void Page_Load(object sender, EventArgs e)
    
{
    
    Response.ContentType = "text/javascript";
    
    //用户开启了浏览器"不跟踪"选项
    
    if (!string.IsNullOrWhiteSpace(Request.Headers.Get("DNT")) && int.Parse(Request.Headers.Get("DNT")) == 1)
    
    {
    
        Response.Write(@"document.write('用户开启了浏览器Do Not Track选项,我比较讲究,遵守这个约定,不跟踪你了,只能给你展示大众版的广告了');");
    
        return;
    
    }

    var uuid = Request.Cookies["uuid"];
    
    //种第三方cookie
    
    if (uuid == null) {
    
        uuid = new HttpCookie("uuid")
    
        {
    
            Value = Guid.NewGuid().ToString(),
    
            Domain = "www.ccc.com",
    
            Expires = DateTime.Now.AddYears(70),
    
        };
    
        Response.Cookies.Add(uuid);
    
        //使用P3P协议提高cookie种上的概率
    
        Response.Headers.Add("P3P", "CP=\"CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR\"");
    
    }
    
    //获取用户正在浏览的网址
    
    var referer = Request.Headers.Get("Referer");

    //记录用户访问历史
    
    if (!histories.ContainsKey(uuid.Value)) {
    
        histories[uuid.Value] = new List<string>();
    
    }
    
    histories[uuid.Value].Add(DateTime.Now + ": " + referer);

    Response.Write(@"document.write('<br><br>blabla这里是根据你浏览的网址给你推荐最合适的广告'+
    
            ',不要问我怎么知道哪个网址有什么内容,也不要问我怎么知道哪些广告最适合你,我会告诉你我有高大上的算法嘛<br><br>');");
    
    Response.Write(@"document.write('下边是你的浏览记录(不好意思,我看到了羞羞的东东):<br>');");

    foreach (string history in histories[uuid.Value]) {
    
        Response.Write("document.write('" + history + "<br>');");
    
    }
    
}

  3. www.aaa.com和www.bbb.com页面代码

    <script type="text/javascript" src="http://www.ccc.com:1234/ads.aspx"></script>

  4. 打开www.aaa.com和www.bbb.com页面

 

异类 falsh cookie

 

这货太变态,不在本文讨论范围内,有兴趣的可以自行百度之

总而言之就一句话,cookie能干的它能干,cookie不能干的它也能干,当然cookie没有的问题它也有了

cookie那些事的更多相关文章

  1. 关于Cookie安全性设置的那些事

    一.标题:关于Cookie安全性设置的那些事 副标:httponly属性和secure属性解析 二.引言 经常有看到XSS跨站脚本攻击窃取cookie案例,修复方案是有httponly.今天写出来倒腾 ...

  2. 关于cookie的一些事

    关于cookie的一些事转自:http://blog.csdn.net/yunnysunny/article/details/7748106 cookie是实现web中用户状态维护的基础.我们常见的s ...

  3. cookie、session和token那些事

    cookie 和 session 众所周知,HTTP 是一个无状态协议,所以客户端每次发出请求时,下一次请求无法得知上一次请求所包含的状态数据,如何能把一个用户的状态数据关联起来呢? 比如在淘宝的某个 ...

  4. Session与Cookie间不得不说的一些事

    在很久很久以前,刚有浏览器和网页的时候,web开发者发现了一个问题,我必须要在客户端这边保存一些东西才能实现某些功能,比如大家喜闻乐见的购物车.用户登录.自动登陆等.但是客户端只有一个浏览器,怎么在用 ...

  5. 用户登录之cookie信息安全一二事

    大家都知道用户登陆后,用户信息一般会选择保存在cookie里面,因为cookie是保存客户端, 并且cookie可以在客户端用浏览器自由更改,这样将会造成用户cookie存在伪造的危险,从而可能使伪造 ...

  6. cookie和session的那些事

    对于经常网购的朋友来说,经常会遇到一种情况: 打开淘宝或京东商城的首页,输入个人账号和密码进行登陆,然后进行购物,支付等操作都不需要用户再次输入用户名和密码 但是如果用户换一个浏览器或者等几个小时后再 ...

  7. cookie 和 session 的一些事 中间件

    cookie 和 session cookie 1. 保存在浏览器上一组组键值对,服务器让浏览器进行设置. 2. 为什么要用cookie? HTTP协议是无状态.使用cookie保存状态. 3. dj ...

  8. Session、Cookie、Token 【浅谈三者之间的那点事】

    Cookie 和 Session HTTP 协议是一种无状态协议,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录:Session 和 Cookie 的主要目的 ...

  9. 超大 Cookie 拒绝服务攻击

    有没有想过,如果网站的 Cookie 特别多特别大,会发生什么情况? 不多说,马上来试验一下: for (i = 0; i < 20; i++) document.cookie = i + '= ...

随机推荐

  1. asp.net 实现 tts

    之前用WinForm实现tts已经成功,就调用了下系统的类库.但我把相同的代码搬到asp.net上时却碰到了许多问题,查了好多网站.试过了很多方法,到现在算是做出了一部分吧. 之前调用微软的TTS是用 ...

  2. FineUI上传控件

    文件上传 现在就简单多了,并且也漂亮多了,参考这个示例. 1: <ext:SimpleForm ID="SimpleForm1" BodyPadding="5px& ...

  3. iOS 8以上的设置的跳转

    iOS8以上的系统应用可以与设置进行深层的交互,用户可以根据APP的需要进行对应的权限的设置. 现在大多数的APP依旧仅仅是弹出一个包含操作指令的警示窗口,如“进入设置>隐私>位置> ...

  4. jdbc oracle 连接字符串

    1.普通SID方式 jdbc:oracle:thin:username/password@x.x.x.1:1521:SID 2.普通ServerName方式 jdbc:Oracle:thin:user ...

  5. Shell脚本中单引号(‘)和双引号(“)的使用区别[转载]

    shell可以识别4种不同类型的引字符号: 单引号字符' 双引号字符" 反斜杠字符\ 反引号字符` 1. 单引号 ( '' ) # grep Susan phonebook Susan Go ...

  6. web qq 获取好友列表hash算法

    web qq 获取好友列表hash算法 在使用web qq的接口进行好友列表获取的时候,需要post一个参数:hash 在对其js文件进行分析之后,发现计算hash的函数位于: http://0.we ...

  7. js页面加载进度条(这个就比较正式了,改改时间就完事儿)

    不废话,直接上代码 思路不难,就是一个animate方法配合随机数 duration内个三秒钟,是自定义的,可以改成页面加载时间,这样就完美了 <!doctype html> <ht ...

  8. ext4 grid edit 添加删除行

    extjs--grid动态添加一行和删除一行: (1)选择rowEditing时,添加一行后的编辑方式为----startEdit(record,columnHeader) (2)选择cellEdit ...

  9. Python之路第二天,基础(2)-基本数据类型

    一.Python数据类型 数 在Python中有4种类型的数,整数,长整数,浮点数和复数. 2是一个整数的例子 长整数不过是大一点的整数 3.23和52.3E是浮点数的例子.E标记表示10的幂.52. ...

  10. Small factorials Solved Problem code: FCTRL2

    import sys def fact(n): final = n while n > 1: final *= n - 1 n -= 1 return final #逻辑严谨,不要忘了retur ...