|
|
我对Cookie的理解——感知篇 4 b/ s4 N4 h4 \' X) L* }
5 V: A4 B i" ]- j9 x/ C9 T- P% n
中午见到有人建议我写一写cookie相关的文章。其实惭愧得很,我自己对cookie也是一知半解。不过把我的一点理解写出来,与朋友们进行交流,请朋友们多多指正,还是有一定用处的。
/ M$ v- L& q- g( P; Y7 o 首先谈谈cookie是个啥东西。网上有很多关于cookie的介绍,一句话,cookie就是保留在客户端浏览器中,起在服务器和客户浏览器之间进行某些标识作用的东西。其实,这句话说了等于白说,不懂的人仍然不懂。那么让我来打个比方吧。假如你是某个仓库的管理员,每天都有好多人来你的仓库里领东西。不同的人有不同的领东西的权限,不同的人领的东西的数量和种类可能也不同。怎么办呢?对每一个人都去检查你的记录本,可能你会觉得需要花费太多的时间和精力。那么,采取这个办法吧,在来领东西的人的脸上写字做记号(哈哈,你别笑我这个憋足的比喻),当某个人脸上没有记号时,你查一下记录本,然后在他的脸上写上他叫什么,他可以领那些东西,他领了那些东西等等。下次他再来时,你看看他的脸,就对需要知道的情报一目了然了。 ) y+ \- P7 ]2 d; m
对照上面那个例子,我们可以把服务器理解成你(就是那个仓库保管员),把客户端服务器理解成来仓库领东西的人。那么cookie,自然就是写在前来领东西的人脸上的字了。现在理解了吗?反正我是这么理解的,有什么错误之处,朋友们赶快给我指出,免得我一错再错啦!
~; `' D& Y9 _' M# e: I 说到这里,你可能会说,这个在人家脸上写字来做记号的办法也太愚蠢啦,要是人家自己在他脸上写字或者涂改怎么办呢?对啦,问题就在这里,要是没有这个问题,我们也用不着在这里讨论cookie了。因为cookie是保留在用户端的(也就是说记号是保留在人家脸上的),所以用户在理论上应该可以有对cookie完全的操作权。我所提供的浏览器右键Cookie芭比娃娃就实现了一定程度上的Cookie操作。所以,使用cookie来实现服务器和浏览器之间的某些标识,特别是用户权限标识,在很多时候是很不安全的。
1 W/ L, j4 A8 x1 [ 可是,虽然cookie很不安全,但是仍然有很多服务器采用这个办法来标识用户身份,比如最近经常讨论的所谓SD。现在论坛上提供的好多SD Cookie,就好比人家告诉你脸上写什么字,可以有什么权限,你用上这些cookie,你在SD的服务器上就有了这些cookie所对应的权限啦。 ; D1 R4 c. j* c" `. r! C: t' x
- p- |7 t4 W2 u b6 q v& iCookie之生生死死
" x9 W5 O# o J5 d0 |" R: d2 w: x& W0 ?* x8 S8 Z' ?
0 o- b0 D+ S0 T6 W' V) K+ }+ A; ]
上一篇文章大概地说了一下cookie是个什么东西。现在具体一点,讲讲cookie是如何产生、传播和消亡的。
3 e* v9 G4 K/ ]. R( _- X 对网络技术有一定了解的朋友可能知道,你在浏览器的地址栏敲入地址然后回车(或者点击某个链接)后发生的事情大概是这样的: ' l( n8 q4 n1 O" o
1、你的计算机向服务器发出连接请求;
, X. ?4 j/ W! \1 f, r2、连接上了后,你的计算机向服务器发出一系列的命令,包括告诉服务器你是谁,你可以接受什么东西,你想要得到什么东西等等;
3 }" _+ Q2 s' R! z3、服务器收到你的命令,会产生一系列的反应,包括告诉你你的命令执行的怎么样了,需要在你的脸上写些什么字(这就是cookie了),你要的东西是不是给你发过来了等等。 ( m+ \0 Z3 P: \! [$ E/ W8 Q
我们可以用minibrowser或sniffer软件看看这个过程的具体情况。如图所示。 % I& u- L/ A; n
褐色的"cmd> ..." 所在行的内容是客户端浏览器给服务器发的信息(cmd>是软件minibrowser加上的),我们可以看到,其中有" Cookie: EUID=..."的内容。这就是告诉服务器“我的脸上写字了,你看,写的是什么什么...”。
! i7 R( a6 V) I 绿色的"hdr> ..."所在行的内容是服务器给你的回复中的前面一部分信息(姑且称之为信息头,或者头部信息),我们可以看到,其中有"Set-Cookie:MIAMISESSION=..."之类的内容。这就是告诉客户端浏览器,“我要在你的脸上写字啦”。 # D1 s# } |# }
至于红色的"cookie> ..."所在行的内容,是minibrowser分析出的cookie内容,并存在于客户端浏览器和服务器的交流信息当中。
k+ ~, d$ J$ h7 U# O/ {3 o" N6 A2 i0 y$ t, u, v2 p
至此,我们应该可以做个总结啦:
, I$ k0 ^2 ~( C) ?" J# ?8 U1、Cookie保留在客户端计算机里(或者用我上篇文章的比方说,写在来仓库领东西的人的脸上)。它可以是仓库保管员第一次见到这个人时写上的,当然,也可以是那个领东西的人自己写上的。一旦这些字被写到他脸上,他又没有擦除掉这些字,那么他下次来领东西时,你就可以根据他脸上的字而对有关他的信息一目了然。
- O/ m! K) F1 p9 N% I1 K2、Cookie的交流只发生在客户端和服务器对话的过程中。也就是说,一旦领东西的人离开了仓库,你不能保证他脸上的字是否被更改,也不能保证别人是不是在脸上写上和他脸上一模一样的字。
6 O) d) C; Z& m3、字迹写在脸上有一个时效问题,过了一定的时间这些字就看不见了。Cookie也一样,Cookie也有一个时效问题。关于cookie的时效和其他一些详细属性,下篇文章再详细讨论。 1 Q U1 d9 _: W4 ?) n/ L; ~. A0 z
7 g% }. ], b( ?2 n
对Cookie的进一步了解) n( L; z0 @, A H8 X! o- m4 X0 g
* T6 m7 i' u5 R2 |5 L9 E' o/ ]
前面的文章简单的介绍了一下cookie。现在对cookie做进一步的讨论。
5 N8 {) I$ z& X+ i& v+ A 首先,把前面经常混谈的两个概念澄清一下:Cookie和Cookies。其实说白了,Cookies就是Cookie的集合,也就是说几个Cookie就是Cookies。但是,我们往往有时候经常把Cookies也叫做Cookie,比如“一个能下书的SD Cookie”。我们心里有了这个概念,就不怕表达上的混淆了。 1 x0 V& R9 v: }3 C+ L
在这篇文章里,为了避免混淆,我们谈到Cookie,仅指单个Cookie。写到这里,大家可能会嫌我有些啰嗦,浪费了这么多时间,还不知道我要讲啥;甚至越看越迷糊了,因为单个Cookie还没弄清楚,就十八摸什么cookie和cookies。好了,现在就来讲讲单个Cookie。
! F; H6 ?3 B. w4 B V 单个Cookie可以说是一个“六元组”。大家别骂我,啥叫六元组?呵呵,其实这是我杜撰的一个词,通俗点说就是包含六个属性的东西。就好比一张调查表吧,里头有姓名、性别、年龄、籍贯、政治面貌、婚育状况等六项,我们就可以说这张调查表就是一个“六元组”。在一个Cookie里,首先有Cookie名,这个是最基本的。有了名,那当然就得有Cookie值了,这是第二个属性。第三个属性在上一篇帖子里提到过,就是Cookie实效(expires)。另外,cookie是和浏览器从服务器那里取得的网页紧密联系在一起的,那么,cookie当然少不得和服务器及其网页属性(也就是所谓的URL)发生一点关系了,这就牵扯到cookie的第四五个属性:Cookie域名(domain)和Cookie路径(path)。cookie属性里的domain和path可以理解为对应于URL里的domain和path。不过cookie属性里的domain和path有点高级。因为URL里的domain和path是一对一的,一个domain就是一个domain,一个path就是一个path。而cookie里的domain和path有点“通配符”的味道,也有点继承的味道。比如一个cookie的domain属性是".sciencedirect.com",那么URL的domain为www.sciencedirece.com或img.sciencedirect.com等等的网页,都可能拥有这个cookie。比如一个cookie的path属性是"/science/",那么URL的路径为"/science/","/science/p1/"等等“/science/”下的一切子路径的网页,都有可能包含这个cookie。
/ ~5 {, ]' ]8 g6 [# C! u* ~3 u; s; n$ a( x# ?3 o
最后是cookie的第六个属性:secure。啥叫secure属性呢?我们在上篇文章的讨论里应该已经知道,cookie的用途在于在浏览器和服务器的交流过程中起一定的标志作用。浏览器和服务器之间的交流协议一般来说是HTTP协议(即超文本传输协议)。然而,除了HTTP协议之外,还有一种不太常见的HTTPS协议(即安全的超文本传输协议),其与HTTP协议最大的不同就在于“安全性”。cookie的secure属性,就是指,这个cookie是专门给HTTPS协议用的。 |
|
发表于 2005-4-21 16:01:40
提升卡
沉默卡
变色卡