Cookie虽然是个很简单的东西,但它又是WEB开发中一个很重要的客户端数据来源,并且它能够实现扩展性很好的会话状态, 因此我认为每一个WEB开发人员都有必要对它有个清晰的认识。本文将对Cookie这个话题作一个全面的描述, 也算是我对Cookie的认识总结。
Cookie 概述
Cookie是什么? Cookie 是一小段文本信息,伴随着用户请求和页面在 Web 服务器和浏览器之间传递。Cookie 包含每次用户访问站点时 Web 应用程序均可以读取的信息。
为何须要Cookie? 由于HTTP协议是无状态的,对于一个浏览器发出的屡次请求,WEB服务器没法区分 是否是来源于同一个浏览器。因此,须要额外的数据用于维护会话。 Cookie 正是这样的一段随HTTP请求一块儿被传递的额外数据。
Cookie能作什么? Cookie只是一段文本,因此它只能保存字符串。并且浏览器对它有大小限制以及 它会随着每次请求被发送到服务器,因此应该保证它不要太大。 Cookie的内容也是明文保存的,有些浏览器提供界面修改,因此, 不适合保存重要的或者涉及隐私的内容。
Cookie 的限制。 大多数浏览器支持最大为 4096 字节的 Cookie。因为这限制了 Cookie 的大小,最好用 Cookie 来存储少许数据,或者存储用户 ID 之类的标识符。用户 ID 随后即可用于标识用户,以及从数据库或其余数据源中读取用户信息。 浏览器还限制站点能够在用户计算机上存储的 Cookie 的数量。大多数浏览器只容许每一个站点存储 20 个 Cookie;若是试图存储更多 Cookie,则最旧的 Cookie 便会被丢弃。有些浏览器还会对它们将接受的来自全部站点的 Cookie 总数做出绝对限制,一般为 300 个。
经过前面的内容,咱们了解到Cookie是用于维持服务端会话状态的,一般由服务端写入,在后续请求中,供服务端读取。 下面本文将按这个过程看看Cookie是如何从服务端写入,最后如何传到服务端以及如何读取的。
Cookie的写、读过程
在Asp.net中,读写Cookie是经过使用HttpCookie类来完成的,它的定义以下:
public sealed class HttpCookie { // 获取或设置将此 Cookie 与其关联的域。默认值为当前域。 public string Domain { get; set; } // 获取或设置此 Cookie 的过时日期和时间(在客户端)。 public DateTime Expires { get; set; } // 获取一个值,经过该值指示 Cookie 是否具备子键。 public bool HasKeys { get; } // 获取或设置一个值,该值指定 Cookie 是否可经过客户端脚本访问。 // 若是 Cookie 具备 HttpOnly 属性且不能经过客户端脚本访问,则为 true;不然为 false。默认为 false。 public bool HttpOnly { get; set; } // 获取或设置 Cookie 的名称。 public string Name { get; set; } // 获取或设置要与当前 Cookie 一块儿传输的虚拟路径。默认值为当前请求的路径。 public string Path { get; set; } // 获取或设置一个值,该值指示是否使用安全套接字层 (SSL)(即仅经过 HTTPS)传输 Cookie。 public bool Secure { get; set; } // 获取或设置单个 Cookie 值。默认值为空引用。 public string Value { get; set; } // 获取单个 Cookie 对象所包含的键值对的集合。 public NameValueCollection Values { get; } // 获取 System.Web.HttpCookie.Values 属性的快捷方式。 public string this[string key] { get; set; } }
Cookie写入浏览器的过程:咱们能够使用以下代码在Asp.net项目中写一个Cookie 并发送到客户端的浏览器(为了简单我没有设置其它属性)。
HttpCookie cookie = new HttpCookie("MyCookieName", "string value"); Response.Cookies.Add(cookie);
我想不少人都写过相似的代码,可是,你们有没有想过:Cookie最后是如何发送到客户端的呢?咱们打开Fiddler来看一下吧。
从上图,您应该能发现,咱们在服务端写的Cookie,最后实际上是经过HTTP的响应头这种途径发送到客户端的。每个写入动做, 都会产生一个【Set-Cookie】的响应头。
浏览器正是在每次获取请求的响应后,检查这些头来接收Cookie的。
Asp.net获取Cookie的过程:咱们能够使用以下代码在Asp.net项目中读取一个Cookie
HttpCookie cookie = Request.Cookies["MyCookieName"]; if( cookie != null ) labCookie1.Text = cookie.Value; else labCookie1.Text = "未定义";
代码一样也很简单,仍是相似的问题:你们有没有想过,Cookie是如何传到服务端的呢?咱们仍是继续使用Fiddler来寻找答案吧。
从图片中,咱们能够发现,Cookie是放在请求头中,发送到服务端的。若是你一直刷新页面,就能发现, 每次HTTP请求,Cookie都会被发送。固然了,浏览器也不是发送它所接收到的全部Cookie,它会检查当前要请求的域名以及目录, 只要这二项目与Cookie对应的Domain和Path匹配,才会发送。对于Domain则是按照尾部匹配的原则进行的。
因此,我在访问 www.cnblogs.com 时,浏览器并不会将我在浏览 www.163.com 所接收到的 Cookie 发出去。
删除Cookie:其实就是在写Cookie时,设置Expires为一个【早于如今时间的时间】。也就是:设置此Cookie已通过期, 浏览器接收到这个Cookie时,便会删除它们。
HttpCookie cookie = new HttpCookie("MyCookieName", null); cookie.Expires = new DateTime(1900, 1, 1); Response.Cookies.Add(cookie);
使用Cookie保存复杂对象
前面的示例代码大体演示了Cookie的读写操做。不过,咱们平时可能但愿将更复杂的【自定义类型】经过Cookie来保存, 那么又该如何操做呢?对于这个问题,咱们定义一个类型来看看如何处理。
public class DisplaySettings { public int Style; public int Size; public override string ToString() { return string.Format("Style = {0}, Size = {1}", this.Style, this.Size); } }
上面的代码,我定义一个类型,用于保存用户在浏览页面时的显示设置。接下来,我将介绍二种方法在Cookie中保存并读取它们。
方法-1,经典作法。(注意前面给出的HttpCookie定义代码中的最后二个成员)
private void WriteCookie_2a() { DisplaySettings setting = new DisplaySettings { Style = 1, Size = 24 }; HttpCookie cookie = new HttpCookie("DisplaySettings1"); cookie["Style"] = setting.Style.ToString(); cookie["Size"] = setting.Size.ToString(); Response.Cookies.Add(cookie); } private void ReadCookie_2a() { HttpCookie cookie = Request.Cookies["DisplaySettings1"]; if( cookie == null ) labDisplaySettings1.Text = "未定义"; else { DisplaySettings setting = new DisplaySettings(); setting.Style = cookie["Style"].TryToInt(); setting.Size = cookie["Size"].TryToInt(); labDisplaySettings1.Text = setting.ToString(); } }
方法-2,将对象JSON序列化为字符串。
private void WriteCookie_2b() { DisplaySettings setting = new DisplaySettings { Style = 2, Size = 48 }; HttpCookie cookie = new HttpCookie("DisplaySettings2", setting.ToJson()); Response.Cookies.Add(cookie); } private void ReadCookie_2b() { HttpCookie cookie = Request.Cookies["DisplaySettings2"]; if( cookie == null ) labDisplaySettings2.Text = "未定义"; else { DisplaySettings setting = cookie.Value.FromJson<DisplaySettings>(); labDisplaySettings2.Text = setting.ToString(); } }
这段代码使用了我定义的二个扩展方法。
对于这二种方法,我我的更喜欢后者,由于它具备更好扩展性:若是类型增长了成员,不须要修改读写Cookie的代码。
不过,这种方式产生的有些字符,好比【双引号】,极少数浏览器(Opera)不支持,因此须要作UrlEncode或者Base64编码处理。
同理,对于第一种方法,遇到Value有【双引号】时,咱们一样须要作UrlEncode或者Base64编码处理。
Js中读写Cookie
Cookie并不是只能在服务端读写,在客户端的浏览器中也能够实现对它的读写访问。并且在JS中建立的Cookie对于服务端仍然有效(可见), 接下来咱们来看看在JS中如何写入Cookie,演示代码将建立一个按钮,并在点击按钮后写入Cookie
<input type="button" onclick="WriteCookie();" value="WriteCookie" /> <script type="text/javascript"> function WriteCookie() { var cookie = "cookie_js=22222222; path=/"; document.cookie = cookie; } </script>
在JS中写Cookie很简单,只要给document.cookie赋值一个Cookie字符串便可,至于格式,能够参考前面用Fiddle看到的结果。
再来看一下如何使用JS读取Cookie吧。请参考以下代码:
<input type="button" onclick="ReadCookie();" value="ReadCookie" /> <script type="text/javascript"> function ReadCookie() { alert(document.cookie); } </script>
仍然是访问document.cookie,不过,此次咱们获得倒是所有的Cookie值,每一个Key/Value项用分号分开,中间则用等号分开。 因此, 若是您想在JS中读取Cookie,必定要按照这个规则来拆分并解析您要读取的Cookie项。鉴于这样的操做有些繁琐, 咱们能够jquery.cookie.js插件来轻松完成这个功能,有兴趣的朋友也能够看一下它是如何处理的。 这个插件的代码比较少,这里就直接贴出,
注意哦:前面咱们看到了HttpCookie有个HttpOnly属性,若是它为true,那么JS是读不到那个Cookie的,也就是说: 咱们若是在服务端生成的Cookie不但愿在JS中能被访问,能够在写Cookie时,设置这个属性。不过,经过一些工具,仍是能够看到它们。
接下来,咱们再来看看Asp.net中Cookie有哪些应用。
Cookie在Session中的应用
在Asp.net中,HttpContext, Page对象都有个Session的对象,咱们能够使用它来方便地在服务端保存一些与会话相关的信息。
前面咱们也提到过,HTTP协议是无状态的,对于一个浏览器发出的屡次请求,WEB服务器没法区分 是否是来源于同一个浏览器。 因此,为了实现会话,服务端须要一个会话标识ID能保存到浏览器,让它在后续的请求时都带上这个会话标识ID,以便让服务端知道 某个请求属于哪一个会话,这样即可以维护与会话相关的状态数据。因为Cookie对于用户来讲,是个不可见的东西,并且每次请求都会传递到 服务端,因此它就是很理想的会话标识ID的保存容器。在Asp.net中,默认也就是使用Cookie来保存这个ID的。注意:虽然Asp.net 2.0 也支持无Cookie的会话,但那种方式要修改URL,也有它的缺点,所以这种方法并无普遍的使用。本文将不对这个话题作过多的分析, 就此略过无Cookie会话这种方式。
咱们来看看Session是如何使用Cookie来保存会话标识ID的,在默认的Asp.net配置中,Web.config有着以下定义:
<sessionState mode="InProc" cookieName="ASP.NET_SessionId" cookieless="UseCookies"></sessionState>
若是咱们执行如下操做:
Session["Key1"] = DateTime.Now;
此时,咱们能够使用一些浏览器提供的工具来查看一下如今的Cookie状况。
从图片上看,这个Cookie的名字就是咱们在配置文件中指出的名称,咱们能够修改一下配置文件:
<sessionState cookieName="SK"></sessionState>
再来执行上面的写Session的操做,而后看Cookie
咱们能够看到:SK的Cookie出现了。说明:在截图时我把名称为"ASP.NET_SessionId"的Cookie删除了。
经过上面示例,咱们能够获得结论,Session的实现是与Cookie有关的,服务端须要将会话标识ID保存到Cookie中。
这里再一次申明,除非你使用无Cookie的会话模式,不然Session是须要Cookie的支持。反过来,Cookie并不须要Session的支持。
Cookie在身份验证中的应用
我想不少人都在Asp.net的开发中使用过Form身份认证。对于一个用户请求, 咱们能够在服务端很方便地判断它是否是表明一个已登陆用户。
this.labStatus.Text = (Request.IsAuthenticated ? "已登陆" : "未登陆");
那么,您有没有好奇过:Asp.net是如何识别一个请求是否是一个已登陆用户发起的呢?说到这里,咱们就要从用户登陆提及了。 为了实现登陆及Form认证方式,咱们须要以下配置:
<authentication mode="Forms" > <forms name="UserStatus"></forms> </authentication>
接下来,咱们须要实现用户登陆逻辑。具体实现方式有不少,不过,最终的调用都是差很少的,以下代码所示:
private void SetLogin() { System.Web.Security.FormsAuthentication.SetAuthCookie("fish", false); }
只要执行了以上代码,咱们就能够看到,前面的判断【Request.IsAuthenticated】返回true,最终会显示"已登陆"。 为了探寻这个秘密,咱们仍是来看一下当前页面的Cookie状况。
果真,多出来一个Cookie,名称与我在配置文件中指定的名称相同。咱们再来看看若是注销当前登陆会是什么样子的:
private void SetLogout() { System.Web.Security.FormsAuthentication.SignOut(); }
看到了吗,名为"UserStatus"的Cookie不见了。此时若是你再去观察【Request.IsAuthenticated】,能够发现它此时返回 false。 或者,您也能够再试一次,登陆后,直接删除名为"UserStatus"的Cookie,也能发现登陆状态将显示"未登陆"。 或许,您仍是有点不清楚前面我调用【System.Web.Security.FormsAuthentication.SetAuthCookie("fish", false);】后,Asp.net作了些什么, 回答这个问题其实很简单:本身用Reflector.exe去看一下Asp.net的实现吧。
这里为了更让您能信服登陆与Cookie有关,我将直接建立一个Cookie看一下 Asp.net能不能承认我建立的Cookie,并认为登陆有效。请看代码:
private void SetLogin() { //System.Web.Security.FormsAuthentication.SetAuthCookie("fish", false); // 下面的代码和上面的代码在做用上是等效的。 FormsAuthenticationTicket ticket = new FormsAuthenticationTicket( 2, "fish", DateTime.Now, DateTime.Now.AddDays(30d), false, string.Empty); string str = FormsAuthentication.Encrypt(ticket); HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName, str); Response.Cookies.Add(cookie); }
若是执行这段代码,您将发现:【Request.IsAuthenticated】返回true,登陆状态会显示"已登陆"。
至此,咱们能够得出一个结论: Form身份认证依赖Cookie,Asp.net就是每次检查咱们在配置文件中指定的Cookie名称,并解密这个Cookie来判断当前请求用户的登陆状态。
Cookie的安全情况
从以上图片,您应该能发现:浏览器能提供一些界面让用户清楚的观察咱们在服务端写的Cookie, 甚至有些浏览器还提供很方便的修改功能。以下图所示:
因此,咱们在服务端写代码读取Cookie时,尤为是涉及类型转换、反序列化或者解密时,必定要注意这些操做都有可能会失败。 并且上图也清楚的反映了一个事实:Cookie中的值都是“一目了然”的,任何人都能看到它们。因此,咱们尽可能不要直接在Cookie中 保存一些重要的或者敏感的内容。若是咱们确实须要使用Cookie保存一些重要的内容,但又不但愿被他人看懂, 咱们能够使用一些加密的方法来保护这些内容。
1. 对于一些重要性不高的内容,咱们能够使用Base64之类的简单处理方式来处理。
2. 对于重要性相对高一点的内容,咱们能够利用.net提供的一些加密工具类,本身来设计加密方法来保护。不过, 密码学与加密解密并非很简单的算法,所以,本身设计的加密方式可能不会很安全。
3. 重要的内容,咱们能够使用.net提供的FormsAuthenticationTicket,FormsAuthentication来加密。我认为这种方式仍是比较安全的。 毕竟前面咱们也看过了,Asp.net的Form身份认证就是使用这种方式来加密用户登陆的身份标识的,因此,若是这种方式不安全, 也就意味着Asp.net的身份认证也不安全了。 若是您使用这种方式来加密,那么请注意:它产生的加密后文本仍是比较大的, 前面我也提到过,每次请求时,浏览器都会带上与请求相匹配的全部Cookie,所以,这种Cookie会对传输性能产生必定的影响, 因此,请当心使用,切记不可过多的使用。
这里要补充一下:去年曾经出现过【Padding Oracle Attack】这个话题, 一些人甚至错误的认为是Asp.net加密方式不安全!若是您也是这样认为的,那么能够看一下这篇文章: 浅谈此次ASP.NET的Padding Oracle Attack相关内容 ,以消除这个错误的认识。固然了,咱们也能够从这个话题获得一些收获:解密失败时,不要给出过多的提示,就当没有这个Cookie存在。
如何在C#发请的请求中使用Cookie
前面咱们一直在谈服务端与浏览器中使用Cookie,其实浏览器也是一个普通的应用程序,.net framework也提供一些类也能让咱们 直接发起HTTP请求,下面咱们来看一下如何在C#发请的请求中使用Cookie ,其实也很简单,主要是使用了CookieContainer类,请看如下演示代码:
private static string SendHttpRequestGet(string url, Encoding encoding, CookieContainer cookieContainer) { if( string.IsNullOrEmpty(url) ) throw new ArgumentNullException("url"); if( encoding == null ) throw new ArgumentNullException("encoding"); HttpWebRequest request = (HttpWebRequest)WebRequest.Create(url); request.Method = "GET"; request.CookieContainer = cookieContainer; using( WebResponse response = request.GetResponse() ) { using( StreamReader reader = new StreamReader(response.GetResponseStream(), encoding) ) { return reader.ReadToEnd(); } } } private void SendHttpDEMO() { StringBuilder sb = new StringBuilder(); CookieContainer cookieContainer = new CookieContainer(); string url = "http://www.taobao.com"; SendHttpRequestGet(url, Encoding.Default, cookieContainer); // 后面能够继续发起HTTP请求,此时将会包含上次从服务器写入的Cookie //SendHttpRequestGet("同域名下的其它URL", Encoding.Default, cookieContainer); // 至此,咱们能够显示取得了哪些Cookie CookieCollection cookies = cookieContainer.GetCookies(new Uri(url)); if( cookies != null ) { foreach( System.Net.Cookie cookie in cookies ) sb.AppendLine(cookie.ToString()); } txtCookies.Text = sb.ToString(); }
重构与使用总结
在前面的Asp.net示例代码中,我一直使用.net提供的HttpCookie类来操做Cookie,是为了展现用原始的方式来使用Cookie, 这些代码有点重复,也有点繁琐, 为此,我提供了几个简单的方法能够更容易的使用Cookie,也算是对Cookie使用的一个总结。
/// <summary> /// 用于方便使用Cookie的扩展工具类 /// </summary> public static class CookieExtension { // 咱们能够为一些使用频率高的类型写专门的【读取】方法 /// <summary> /// 从一个Cookie中读取字符串值。 /// </summary> /// <param name="cookie"></param> /// <returns></returns> public static string GetString(this HttpCookie cookie) { if( cookie == null ) return null; return cookie.Value; } /// <summary> /// 从一个Cookie中读取 Int 值。 /// </summary> /// <param name="cookie"></param> /// <param name="defaultVal"></param> /// <returns></returns> public static int ToInt(this HttpCookie cookie, int defaultVal) { if( cookie == null ) return defaultVal; return cookie.Value.TryToInt(defaultVal); } /// <summary> /// 从一个Cookie中读取值并转成指定的类型 /// </summary> /// <typeparam name="T"></typeparam> /// <param name="cookie"></param> /// <returns></returns> public static T ConverTo<T>(this HttpCookie cookie) { if( cookie == null ) return default(T); return (T)Convert.ChangeType(cookie.Value, typeof(T)); } /// <summary> /// 从一个Cookie中读取【JSON字符串】值并反序列化成一个对象,用于读取复杂对象 /// </summary> /// <typeparam name="T"></typeparam> /// <param name="cookie"></param> /// <returns></returns> public static T FromJson<T>(this HttpCookie cookie) { if( cookie == null ) return default(T); return cookie.Value.FromJson<T>(); } /// <summary> /// 将一个对象写入到Cookie /// </summary> /// <param name="obj"></param> /// <param name="name"></param> /// <param name="expries"></param> public static void WriteCookie(this object obj, string name, DateTime? expries) { if( obj == null ) throw new ArgumentNullException("obj"); if( string.IsNullOrEmpty(name) ) throw new ArgumentNullException("name"); HttpCookie cookie = new HttpCookie(name, obj.ToString()); if( expries.HasValue ) cookie.Expires = expries.Value; HttpContext.Current.Response.Cookies.Add(cookie); } /// <summary> /// 删除指定的Cookie /// </summary> /// <param name="name"></param> public static void DeleteCookie(string name) { if( string.IsNullOrEmpty(name) ) throw new ArgumentNullException("name"); HttpCookie cookie = new HttpCookie(name); // 删除Cookie,其实就是设置一个【过时的日期】 cookie.Expires = new DateTime(1900, 1, 1); HttpContext.Current.Response.Cookies.Add(cookie); } }
更完整的代码能够从本文的示例代码中得到。(文章底部有下载地址)
使用方式:
public static class TestClass { public static void Write() { string str = "中国"; int aa = 25; DisplaySettings setting = new DisplaySettings { Style = 3, Size = 50 }; DateTime dt = new DateTime(2012, 1, 1, 12, 0, 0); str.WriteCookie("Key1", DateTime.Now.AddDays(1d)); aa.WriteCookie("Key2", null); setting.ToJson().WriteCookie("Key3", null); dt.WriteCookie("Key4", null); } public static void Read() { HttpRequest request = HttpContext.Current.Request; string str = request.Cookies["Key1"].GetString(); int num = request.Cookies["Key2"].ToInt(0); DisplaySettings setting = request.Cookies["Key3"].FromJson<DisplaySettings>(); DateTime dt = request.Cookies["Key4"].ConverTo<DateTime>(); } }
注意哦:以上代码中都是直接使用字符串"Key"的形式,这种方式对于大一些的程序在后期可能会影响维护。
因此建议:将访问Cookie所使用的Key能有一个类来统一的定义,或者将读写操做包装成一些属性放在一个类中统一的管理。
public static class CookieValues { // 建议把Cookie相关的参数放在一块儿,提供 get / set 属性(或者方法)来访问,以免"key"处处乱写 public static string AAA { get { return HttpContext.Current.Request.Cookies["Key1"].GetString(); } } public static int BBB { get { return HttpContext.Current.Request.Cookies["Key2"].ToInt(0); } } public static DisplaySettings CCC { get { return HttpContext.Current.Request.Cookies["Key3"].FromJson<DisplaySettings>(); } } public static DateTime DDD { get { return HttpContext.Current.Request.Cookies["Key4"].ConverTo<DateTime>(); } } }
补充
根据一些朋友提供的反馈,这里再补充4个须要注意的地方:
1. 若是使用Form登陆验证且但愿使用Cookie方式时,建议设置 cookieless="UseCookies", 由于这个参数的默认值是:cookieless="UseDeviceProfile",Asp.net可能会误判。 dudu就吃过亏。
<authentication mode="Forms" > <forms name="MyCookieName" cookieless="UseCookies"></forms> </authentication>
2. Cookie有3个属性,通常咱们能够不用设置,但它们的值能够在Web.config中指定默认值:
<httpCookies domain="www.123.com" httpOnlyCookies="true" requireSSL="false"/>
3. 虽然在写Cookie时,咱们能够设置name, value以外的其它属性,可是在读取时,是读不到这些设置的。 其实在个人示例代码中有体现,我前面也忘记了说明了。
4. HttpRequest.Cookies 与 HttpResponse.Cookies 会有关系(很奇怪吧)。
如下代码演示了这个现象:
protected void Page_Load(object sender, EventArgs e) { DateTime.Now.ToString().WriteCookie("t1", null); label1.Text = ShowAllCookies(); Guid.NewGuid().ToString().WriteCookie("t2", null); // 若是去掉下面代码,将会看到2个t1 Response.Cookies.Remove("t1"); Response.Cookies.Remove("t2"); } private string ShowAllCookies() { StringBuilder sb = new StringBuilder(); for( int i = 0; i < Request.Cookies.Count; i++ ) { HttpCookie cookie = Request.Cookies[i]; sb.AppendFormat("{0}={1}<br />", cookie.Name, cookie.Value); } return sb.ToString(); }
上面的试验代码将会一直显示 t1 的Cookie ,这里就再也不贴图了。
浏览器每次从新打开都会产生一个新的sessionid, 关闭后若是存放在服务器中的session尚未过时,那么下次访问仍是有效的。不过sessionid已经变了
我的看法