Cookie技术详细解读

前段时间写博客的时候提到了Cookie技术，只是稍微解释了一下，今天专门来介绍一下

上篇博客：重放攻击和中间人攻击

Cookie技术

借用上篇博客中的定义：Cookie,俗称小甜饼，给的比喻也是相当的形象，它是一小段文本信息，伴随着用户请求页面在web服务器和浏览器之间传递或者说是某些网站为了辨别用户身份、进行session跟踪而存储在本地用户终端上的数据（通常经过加密）

Cookie技术的详细文档：RFC6265

我们为什么需要Cookie技术？

因为HTTP协议是个无状态的协议，无状态指的是服务器不维护任何有关客户端过去所发请求的信息。但是，很多应用需要服务器掌握客户端的状态，如网上购物，如何实现？（利用Cookie技术）

Cookie的组件

• HTTP响应消息的Cookie头部行
• HTTP请求消息的Cookie头部行
• 保存在客户端主机上的Cookie文件，由浏览器管理
• Web服务器端的后台数据库

Cookie技术的原理

举例：

假设一个用户在进行网上购物

1. 假定用户第一次访问这个购物网站，用户浏览器这边有一个Cookie文件，里面只有一行信息beay:8734,但是没有任何与这个购物信息有关的信息
2. 用户开始使用常规的http请求消息来访问，服务器收到访问以后，发现这是一个新用户，于是为这个用户创建一个ID为1678，并把这个信息存储在后端的数据库中
3. 服务器收到请求后向浏览器发回响应消息，但是在响应消息里面多了一行信息，就是Set-cookie: 1678,客户浏览器收到响应信息后，把新增的Cookie信息添加到自己的Cookie文件中，意思是：我在这个网站中的ID是1678
4. 当用户第二次再访问这个网站的时候，请求信息中就会带上自己的Cookie信息，服务器收到以后，通过Cookie信息发现是之前访问过的用户，于是做出Cookie-specific action，将http响应信息发回用户浏览器
5. 一周以后再次访问，依然会重复4的步骤

Cookie的作用：

• 身份认证
• 购物车
• 推荐
• Web email
• ……

Cookie存在的问题

• 暴露隐私

其实，我们可以从生活中去体会Cookie的作用，比如我们平时在逛淘宝或者是使用百度搜索的时候，我们会发现，当我们再次使用这些网站的时候，他们会给我们推荐那些我们之前搜索过的或者是看过的相关内容或物品，这就是利用Cookie技术实现的

Cookie如何被用于搜集隐私

• 打开一个cookie文件，你会看到一连串字符串。在这些字符串中，有一部分就是在你的电脑硬盘中放置coo kie的公司专门用来辨认你的电脑的。

• 企业的市场销售人员说cookie对企业开展卓有成效的营销活动非常重要，因为这些小玩意可告诉让用户告诉网 站自己希望看到什么样的内容。那些要求用户注册的网站只要老用户一上网便可知道，例如在亚马逊注册过或购买过商品的用 户再次访问亚马逊就会收到该网站的热情问候。

• 网站使用cookie，不仅能知道用户在网站上买了些什么，还能掌握该用户在网站上看过哪些内容，总共逗留了 多长时间等。只要网站愿意，它可一直保留这样的信息。象DoubleClick一类的广告公司还进一步将所收集到的这 类信息与用户在其他许多网站的浏览活动联系起来，随着掌握的信息日益详细，它便能使自己的广告业务更加具有针对性。

• 随着时间的推移，网站还会对发送给你的cookie进行修改，不过你作为一个消费者的主要信息基本上仍然是存 储在企业的数据库中，而非你的电脑中。

为了解决这个问题，苹果、Google、微软正在抢占新标准的滩头