专题：cookie -- IT技术博客大学习 -- 共学习共进步！

问题如何能使得一些信息可以存储更小？

如果偷取cookie失败，无法session劫持，攻击者如何再发起攻击？劫持session的目的是拿到登录态，从而获得服务器授权做很多请求，例如账户变更。如果劫持不到session，也能够做授权请求不是也达到攻击的目的了？无需拿到session cookie，跨站发起请求就可以了，这就是CSRF！server通过把用户凭证存储在cookie以维持session，http/https协议每次访问都会自动传输cookie，协议上的缺陷是导致可进行CSRF攻击的根本原因！防御方式：使用anti-forgery token。

前端开发中Cookie那些事儿

cookie操作在前端开发过程中经常遇到，当然如果只是用来存储一些简单用户数据，还是比较简单的，我们要做的可能只是设置cookie名，值，过期时间等，读取也只要根据cookie的名读取相应的cookie值就可以了。在复杂的应用中，光这些肯定就不够了。

使用Http-only Cookie来防止XSS攻击

HttpOnly并不是万能的，首先它并不能解决xss的问题，仍然不能抵制一些有耐心的黑客的攻击，也不能防止入侵者做ajax提交。为了降低跨站点脚本攻击带来的损害，通常需要将HTTP-only Cookie和其他技术组合使用。如果单独使用的话，它无法全面抵御跨站点脚本攻击。

如何设置一个永远无法删除的Cookie

在网站统计中，我们最常用的是用 Cookie标识身份，由于浏览器自带的 Cookie容易被用户删除。于是很多人使用 Flash Cookie来跟踪用户的信息。但是在目前360等软件帮助下，删除Flash Cookie也变得非常的简单。那么有没有什么方法让Cookie无法删除呢？答案是有的！做开发的基本上都理解灾备机制。即一台服务器如果出现了故障，则可由由另一台恢复回去。比如Cookie一旦删除后，这可通过Flash Cookies进行恢复。另外，除了Cookie和Flash Cookie外，到底还有哪些方式可以用来进行“用户识别”。

前端开发中Cookie那些事儿

前段时间做了项目，在前端实现中频繁的操作cookie，记录几点供大家参考！ cookie操作在前端开发过程中经常遇到，当然如果只是用来存储一些简单用户数据，还是比较简单的，我们要做的可能只是设置cookie名，值，过期时间等，读取也只要根据cookie的名读取相应的cookie值就可以了。在复杂的应用中，光这些肯定就不够了。 cookie的属性除了name(名)和value(值)，cookie还有以下一些可选属性，用来控制cookie的有效期，作用域，安全性等： expires属性指定了cookie的生存期，默认情况下cookie是暂时存在的，他们存储的值只在浏览器会话期间存在，当用户退出浏览器后这些值也会丢失，如果想让cookie存在一段时间，就要为expires属性设置为未来的一个用毫秒数表示的过期日期或时间点，expires默认为设置的expires的当前时间。

Cookie安全漫谈

在Web应用中，Cookie很容易成为安全问题的一部分。从以往的经验来看，对Cookie在开发过程中的使用，很多开发团队并没有形成共识或者一定的规范，这也使得很多应用中的Cookie成为潜在的易受攻击点。在给Web应用做安全架构评审（Security architecture review）的时候，我通常会问设计人员以下几个问题：你的应用中，有使用JavaScript来操作客户端Cookie吗？如果有，那么是否必须使用JavaScript才能完成此应用场景？如果没有，你的Cookie允许JavaScript来访问吗？你的网站（可能包含多个Web应用）中，对于Cookie的域（Domain）和路径（Path）设置是如何制定策略的？为何这样划分？

用Flash理跨域上传或异步请求不能传Cookie的解决方案

用flash上传或flash做代理异步请求的时候，因为flash不能直接传递浏览器中的cookie到服务器，引起SESSION无法识别身份。想当年刚碰到这个问题的时候会非常头痛。其实在PHP里面，解决时很容易的。

Flash请求不能传Cookie的PHP解决方案

用flash 通过GET或POST发送数据到服务器，服务器端再绑定到对应的SESSION

网站统计：第一方Cookie和第三方Cookie

什么是 Cookie？ Cookie 是您访问过的网站创建的文件，用于存储浏览信息，例如您的网站偏好设置或个人资料信息。共有两种类型的 Cookie：第一方 Cookie 是由地址栏中列出的网站域设置的 Cookie，而第三方 Cookie 来自在网页上嵌入广告或图片等项的其他域来源。 Cookie可以用来提升用户体验，比如网站可以使用Cookie来记录用户的登录状态，用户只要登录一次就可以不用登录了，购物网站通过Cookie来保存购物车中的商品等。同时很多的...

在浏览器中加密Cookie

在网络应用中，cookie是一种非常方便的存储数据的方法。正因如此，你在开发WEB应用的时候更需要注意cookie的安全性。有很多办法可以做到保证cookie的安全，这里我们再讨论一种--浏览器端的cookie加密。

一段Javascript的代码

这段代码来自BlackHat DC 2011((黑帽安全大会，全世界最大两个黑客大会之一，另一个是Defcon)中的一个叫Ryan Barnett黑客做的XSS Street-Fight！的演讲(XSS是Web上比较经典的跨站式攻击，操作起来也有些复杂)，一共69页，基本上都是一些比较枯燥的Javascript，不过这段代码挺有意思的。

FlashCookie

你是否遇到过这样的情况呢？你放到浏览器Cookie中的信息，不想被浏览器清空呢？还好，Flash有个可以存储的空间，虽然这个空间也不是十分的可靠，但是对于经常可能清空的浏览器Cookie来说，还是可以值得信任的。原理非常的简单，就是我们需要用JavaScript去调用ActionScript，来把存储的东西放到Flash的这块空间中。

js对cookie的几个操作函数(仅作备忘)

js对cookie的几个操作函数，网上找的（仅作备忘） function getCookieVal(offset) { var endstr = document.cookie.indexOf(\";\", offset); if (endstr == - 1) { endstr = document.cookie.length; } r...

curl 命令使用cookie

js制作提示公告带关闭可保存cookie

加工了一下以前的提示公告，加了cookie,演示当中如果点了关闭按钮，那么12小时之内都不会显示提示。

js添加查询删除cookie操作代码

function addCookie(objName,objValue,objHours) {var str = objName + "=" + escape(objValue);if(objHours > 0){var date = new Date();var ms = objHours*3600*1000;date.setTime(date.getTime() + ms);str += "; expires=" + date.toGMTString();}document.cookie = str;}function getCookie(objName) {var arrStr = document.cookie.split("; ");for(var i = 0;...