使用 cookie的一些缺陷和隐患

在细谈此问题之前，我们不妨先来看看什么是coolie？它的用途又是什么？coolie是指某些网站为了辨别用户身份而储存在用户本地终端的的数据。cookie是一种小型文本文件。
cookie的作用是绕开HTTP的无状态性，帮助session进行对用户的追踪。举两个十分典型的例子

1 - 在我们进行网络购物时，浏览了几个网页买了一袋曲奇，两瓶饮料。当用户选购了第一项商品，服务器在向用户发送网页的同时，还发送了一段Cookie，记录着那项商品的信息。当用户访问另一个页面，浏览器会把Cookie发送给服务器，于是服务器知道他之前选购了什么。用户继续选购饮料，服务器就在原来那段Cookie里追加新的商品信息。结帐时，服务器读取发送来的Cookie就行了。服务器可以设置或读取Cookies中包含信息，借此维护用户跟服务器会话中的状态。
2- Cookie另一个典型的应用是当登录一个网站时，网站往往会请求用户输入用户名和密码，并且用户可以勾选“下次自动登录”。如果勾选了，那么下次访问同一网站时，用户会发现没输入用户名和密码就已经登录了。这正是因为前一次登录时，服务器发送了包含登录凭据（用户名加密码的某种加密形式）的Cookie到用户的硬盘上。第二次登录时，如果该Cookie尚未到期，浏览器会发送该Cookie，服务器验证凭据，于是不必输入用户名和密码就让用户登录了。
基于以上两个例子，就可以相对具体的来看了解cookie的缺陷了

1. 在购物场景中，由于cookie在HTTP请求中是明文传输的，安全性很成问题。一个cookie中包含了应付款项，攻击者可以通过在cookie传回到服务器之前将付款值改小的操作来达到非法目的。想当初网络上流传的刷QQ的增值业务火爆，100块钱几万扣币，看着就很诱人，对于做做这种非法的事情的人，遇到后我们要举报他们。
2. 在第二例子中储存于本地的密码可以被钓鱼网站的服务器暴力获取。像我们的QQ·号码被盗，很多时候就是因为浏览了这样的网站导致我们的账号被盗。
3. 一些公司的高层人员为了某种目的（譬如市场调研）而访问了从未去过的网站（通过搜索引擎查到的），而这些网站包含了一种叫做网页臭虫的图片，该图片透明，且只有一个像素大小（以便隐藏），它们的作用是将所有访问过此页面的计算机写入Cookie。而后，电子商务网站将读取这些Cookie信息，并寻找写入这些Cookie的网站，随即发送包含了针对这个网站的相关产品广告的垃圾邮件给这些高级人员。
4. Cookie会被附加在每个HTTP请求中，所以无形中增加了流量
5. Cookie的大小限制在4KB左右，对于复杂的存储需求来说是不够用的。