目     录

摘要

关键词

一、 引言 

二、 COOKIE概述 

三、 COOKIE安全分析 

四、 COOKIE惯性思维 

五、 COOKIE防护 

六、 总结 

七、 参考文献： 15

摘要：Cookie是一小段文本信息，只能保存字符串，伴随着用户请求和页面在Web服务器和浏览器间传递，用来保持Web中的回话状态和缓存信息，记录用户的状态。Cookie的使用方便了人们的网上生活,但同时对用户的许多隐私信息构成了威胁。本文介绍了Cookie技术的相关概念、应用领域及基本特征,说明了Cookie的工作原理和Cookie结构;其次讲述了常见的Cookie技术的漏洞,最后介绍了针对Cookie技术的安全防护措。

关键词：Cookie，HTTP无状态，保持secure，httponly，跨站攻击

Cookie技术产生于HTTP协议在互联网的急速发展。由于因特网的发展，人们对于web服务的便利性和友好性有了更大的需求。在复杂的互联网交互活动中，希望服务器能够记录活动的状态，识别不同用户的活动记录。使得用户在本次访问服务器中，服务器能有上次用户访问时的种种记录和资源。

但是，HTTP协议是无状态的，即协议对于事物处理没有记忆能力。这种情况下，如果后续事物处理需要之前的信息，就必须要重传。举个例子，你再淘宝里面精挑细选了50件产品放在了购物车中，但是不小心关闭了淘宝界面。这时再登录时，我们肯定希望购物车中还是有这50件产品。

http协议是不能记住我们上次把50件产品加入购物车的。在客户端和服务器进行这种动态交互的web 应用的大量出现后，http的无状态特性就极大的阻碍了这些交互应用的发展。因此，在这种需求下就推出了各种能够保存web服务器状态的技术手段，两种用于保持HTTP连接状态的技术就应运产生了。一种是session技术，另一种就是cookie技术。

Cookie在英文中意为“小饼干，小甜品”，顾名思义就是形容cookie容量小，cookie是一小段文本文件，只含有字符。

Cookie就是服务器给用户颁布的一个状态值，并且保存在客户端或浏览器。只要在cookie的有效期内，用户再次访问该服务器时，浏览器会检查本地的cookies，并且会自动将cookie加在请求头部中一起发送给服务器，服务器通过识别该cookie来辨别用户身份，并且将用户在服务器中的资源提供给用户。

过度泛化的“隐私问 题”，正在影响互联网发展的大方向。 央视3·15晚会出人意料地没有谈食物、水和空气，而选择曝光公众缺乏意识的cookie问题，这一下子让还处在马斯洛需求层面较低层级的中国人民在对自身安全的追求上开始更加忧虑。Cookie 安全就不止为安全领域的人员所熟知，而成为一个热门的全民话题。

1. Cookie属性

1)Cookie名称，Cookie名称必须使用只能用在URL中的字符，一般用字母及数字，不能包含特殊字符，如有特殊字符想要转码。如js操作cookie的时候可以使用escape()对名称转码。

2)Cookie值，Cookie值同理Cookie的名称，可以进行转码和加密。

3)Expires，过期日期，一个GMT格式的时间，当过了这个日期之后，浏览器就会将这个Cookie删除掉，当不设置这个的时候，Cookie在浏览器关闭后消失。

4)Path，一个路径，在这个路径下面的页面才可以访问该Cookie，一般设为“/”，以表示同一个站点的所有页面都可以访问这个Cookie。

5）Domain，子域，指定在该子域下才可以访问Cookie，例如要让Cookie在a.test.com下可以访问，但在b.test.com下不能访问，则可将domain设置成a.test.com。

6)Secure，安全性，指定Cookie是否只能通过https协议访问，一般的Cookie使用HTTP协议既可访问，如果设置了Secure（没有值），则只有当使用https协议连接时cookie才可以被页面访问。

7)HttpOnly，如果在Cookie中设置了