一、什麼是Cookie
簡單來說,Cookie是網站在用戶瀏覽器中保存下來的一份個人信息,有了Cookie,用戶下次訪問該網站時就可以免輸入用戶名甚至密碼了(比如登陸淘寶網,用戶名一欄就自動填充了,而爲了安全,密碼是必須的),因網站而異。另外,用戶使用賬號登陸網站後,要靠Cookie來維持會話Session,以保持在線狀態,一旦清空當前網站對應的所有Cookie數據,用戶將立即下線。真囉嗦,看圖:
這是在OSChina登陸狀態下的Cookie。接下來把它清除,然後刷新,結果如下:
可以看出,沒有了Cookie,用戶馬上變成了遊客身份,也就是用戶維持登陸狀態的信息已經不存在了。所以說,如果沒有Cookie,許多網站都登陸不上去了。再比如,當用戶訪問京東等購物網站時,在不登陸的狀態下,可以直接將選中的商品加入購物車,其原理也是基於Cookie來記錄用戶的購物車數據,只要不清除它,下次再打開該網站時,購物車依然能夠顯示添加的商品。
又以上面OSChina爲例,如果我打開第二個瀏覽器(獵豹),以遊客身份 訪問oschina.net,然後 把之前瀏覽器(Chrome)Cookie中的oscid值取出來,注入第二個瀏覽器中,結果會怎麼樣呢。
通過腳本注入這個oscid值,然後刷新,即可看到,遊客身份變成了在線用戶。也就是說,有的網站就是通過一個或多個cookie值來映射到一個會員ID,只要任何一臺電腦的任何一個瀏覽器中包含這些Cookie值,就可以 實現會員自動登陸 。當然,這個cookie值會有一個過期時間(由網站系統響應頭決定),以保證一定的安全性,另外補充一點,oschina應該對cookie的oscid值禁用了js讀取,以防網站未知的XSS跨站腳本漏洞導致用戶賬戶被盜,所以爲了演示的需要,我是從瀏覽器的設置功能中取出來的。
cookie的作用不小,給用戶和網站經營者帶來很大的便利,但同時不可避免帶來一些安全隱憂,只要我們保持安全意識,不在公共電腦上登陸敏感賬戶,我們就能趨利避害,享受cookie。