cookie安全测试

Cookie 安全内容检查包括前面讲的存储内容的检查，还包括以下方面：
（1 ）Cookie 过期日期设置的合理性：检查是否把Cookie 的过期日期设置得过长。
（2 ）HttpOnly 属性的设置：把 Cookie 的HttpOnly 属性设置为True 有助于缓解跨站点
脚本威胁，防止Cookie 被窃取。
（3 ）Secure 属性的设置：把 Cookie 的Secure 属性设置为 True ，在传输 Cookie 时使用
SSL 连接，能保护数据在传输过程中不被篡改。
对于这些设置，可以利用Cookie Editor 来查看是否正确地被设置，如图 15.30 所示。
图15.30 查看Cookie 的设置
说明：可在“Expiration Date and Time”中查看 Cookie 的过期日期设置是否合理，查看
“HttpOnly ”和“Secure ”是否勾选上，勾选上表示设置为True 。在“Cookie Value ”中可
查看是否存在敏感信息，数据是否经过加密。
[Reference]http://blog.csdn.net/fen0707/article/details/8530597
=============

• cookie编码
• 假如是本地磁盘中的页面，chrome的控制台是无法用JavaScript读写操作 cookie 的，解决办法...换一个浏览器^_。
• 把cookie设置为secure，只保证 cookie 与服务器之间的数据传输过程加密，而保存在本地的 cookie文件并不加密。如果想让本地cookie也加密，得自己加密数据。
• cookie的domain和path如何设置？
  ========