什么是Cookie？禁用、删除cookie的办法

    什么是Cookie？

　　Cookie，有时也用其复数形式Cookies，指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据（通常经过加密）。定义于RFC2109（已废弃），最新取代的规范是RFC2965.

　　Cookie最早是网景公司的前雇员Lou Montulli在1993年3月的发明。

　　Cookies就是服务器暂存放在你的电脑里的资料（.txt格式的文本文件），好让服务器用来辨认你的计算机。当你在浏览网站的时候，Web服务器会先送一小小资料放在你的计算机上，Cookies 会帮你在网站上所打的文字或是一些选择都记录下来。当下次你再访问同一个网站，Web服务器会先看看有没有它上次留下的Cookies资料，有的话，就会依据Cookie里的内容来判断使用者，送出特定的网页内容给你。商家可以从cookie获得用户信息，如喜欢什么产品。

　　Cookie是当你浏览某网站时，网站存储在你机器上的一个小文本文件，它记录了你的用户ID，密码、浏览过的网页、停留的时间等信息，当你再次来到该网站时，网站通过读取Cookie，得知你的相关信息，就可以做出相应的动作，如在页面显示欢迎你的标语，或者让你不用输入ID、密码就直接登录等。

　　Cookie中的内容大多数经过了加密处理，因此在我们看来只是一些毫无意义的字母数字组合，只有服务器的CGI处理程序才知道它们真正的含义。

　　Cookie总是保存在客户端中，按在客户端中的存储位置，可分为内存Cookie和硬盘Cookie.

　　内存Cookie由浏览器维护，保存在内存中，浏览器关闭后就消失了，其存在时间是短暂的。硬盘Cookie保存在硬盘里，有一个过期时间，除非用户手工清理或到了过期时间，硬盘Cookie不会被删除，其存在时间是长期的。所以，按存在时间，可分为非持久Cookie和持久Cookie.

　　Cookie的种类

　　1. Session Cookie这个类型的cookie只在会话期间内有效，即当关闭浏览器时就会被浏览器删除。设置session cookie的办法是：在创建cookie不设置Expires即可。

　　2. Persistent Cookie持久型cookie顾名思义就是会长期在用户会话中生效。当你设置cookie的属性Max-Age为1个月的话，那么在这个月里每个相关URL的http请求中都会带有这个cookie.所以它可以记录很多用户初始化或自定义化的信息，比如什么时候第一次登录及弱登录态等

　　3. Secure cookie安全cookie是在https访问下的cookie形态，以确保cookie在从客户端传递到Server的过程中始终加密的。这样做大大的降低的cookie内容直接暴露在黑客面前及被盗取的概率。

　　4. HttpOnly Cookie

　　设置成httponly的cookie只能在http（https）请求上传递。也就是说httponly cookie对客户端脚本语言（javascript）无效，从而避免了跨站攻击时JS偷取cookie的情况。当你使用javascript在设置同样名字的cookie时，只有原来的httponly值会传送到服务器。（document.cookie 无效）

　　5. 第三方cookie

　　则是种植在不同于浏览器地址栏的域名下。例如：用户访问a.com时，在ad.google.com设置了个cookie.广告。

　　6. Super Cookie超级cookie是设置公共域名前缀上的cookie.通常a.b.com的cookie可以设置在a.b.com和b.com，而不允许设置在。com上。

　　7. Zombie Cookie僵尸cookie是指那些删不掉的，删掉会自动重建的cookie.僵尸cookie是依赖于其他的本地存储方法，例如flash的share object，html5的local storages等，当用户删除cookie后，自动从其他本地存储里读取出cookie的备份，并重新种植。

　　Cookie 的用途

　　1. 会话管理

　　记录用户的登录状态是cookie最常用的用途。通常web服务器会在用户登录成功后下发一个签名来标记session的有效性，这样免去了用户多次认证和登录网站。

　　记录用户的访问状态，例如导航啊，用户的注册流程啊

　　2. 个性化信息

　　用来记忆用户相关的信息，以方便用户在使用和自己相关的站点服务。例如：ptlogin会记忆上一次登录的用户的QQ号码，这样在下次登录的时候会默认填写好这个QQ号码

　　用来记忆用户自定义的一些功能。用户在设置自定义特征的时候，仅仅是保存在用户的浏览器中，在下一次访问的时候服务器会根据用户本地的cookie来表现用户的设置。例如google将搜索设置（使用语言、每页的条数，以及打开搜索结果的方式等等）保存在一个COOKIE里。

　　3. 记录用户的行为

　　记录用户的点击流和某个产品或商业行为的操作率和流失率

　　Cookie的安全问题

　　1.Cookie欺骗

　　Cookie记录着用户的帐户ID、密码之类的信息，如果在网上传递，通常使用的是MD5方法加密。这样经过加密处理后的信息，即使被网络上一些别有用心的人截获，也看不懂，因为他看到的只是一些无意义的字母和数字。然而，现在遇到的问题是，截获Cookie的人不需要知道这些字符串的含义，他们只要把别人的Cookie向服务器提交，并且能够通过验证，他们就可以冒充受害人的身份，登陆网站。这种方法叫做Cookie欺骗。

　　Cookie欺骗实现的前提条件是服务器的验证程序存在漏洞，并且冒充者要获得被冒充的人的Cookie信息。目前网站的验证程序要排除所有非法登录是非常困难的，例如，编写验证程序使用的语言可能存在漏洞。而且要获得别人Cookie是很容易的，用支持Cookie的语言编写一小段代码就可以实现（具体方法见三），只要把这段代码放到网络里，那么所有人的Cookie都能够被收集。如果一个论坛允许HTML代码或者允许使用Flash标签就可以利用这些技术收集Cookie的代码放到论坛里，然后给帖子取一个吸引人的主题，写上有趣的内容，很快就可以收集到大量的Cookie.在论坛上，有许多人的密码就被这种方法盗去的。至于如何防范，目前还没有特效药，我们也只能使用通常的防护方法，不要在论坛里使用重要的密码，也不要使用IE自动保存密码的功能，以及尽量不登陆不了解底细的网站。

　　2.Flash的代码隐患

　　Flash中有一个getURL（）函数，Flash可以利用这个函数自动打开指定的网页。因此它可能把你引向一个包含恶意代码的网站。打个比方，当你在自己电脑上欣赏精美的Flash动画时，动画帧里的代码可能已经悄悄地连上网，并打开了一个极小的包含有特殊代码的页面。这个页面可以收集你的Cookie、也可以做一些其他的事情，比如在你的机器上种植木马甚至格式化你的硬盘等等。对于Flash的这种行为，网站是无法禁止的，因为这是Flash文件的内部行为。我们所能做到的，如果是在本地浏览尽量打开防火墙，如果防火墙提示的向外发送的数据包并不为你知悉，最好禁止。如果是在Internet上欣赏，最好找一些知名的大网站。

　　禁用浏览器cookie的办法

　　用户可以改变浏览器的设置，以使用或者禁用Cookies.

　　微软 Internet Explorer

　　工具 >Internet选项 >隐私页调节滑块或者点击"高级"，进行设置。

　　Mozilla Firefox

　　工具> 选项> 隐私（注： 在Linux版本中，是如下操作：编辑 >首选项 >隐私 ， 而Mac则是：Firefox >属性 >隐私）

　　查看源网页设置Cookies选项设定阻止/允许的各个域内Cookie查看Cookies管理窗口，检查现存Cookie信息，选择删除或者阻止它们

　　苹果计算机 Safari

　　Safari >预置 >安全标签选择以下的选项总是

　　接受 Cookies永不 接受 Cookies

　　删除flash cookie的办法：

　　1.点击操作系统的"开始"按钮，再点击"控制面板".

　　2.在打开的"控制面板"中点击 "Flash Player".

　　3.在打开的"flash player 设置管理器"中选择"存储"，再点击"全部删除"按钮。

    

　　4.最后选中"删除所有站点数据和设置"，然后点击"删除数据"按钮就即可。

　　接受 Cookies

　　仅从您浏览的站点 （例如，不接受来自其它站点的广告） 预设的选项。

　　您可以显示所有驻留在您浏览器中的 cookies，也可随时将它们之一删除。

　　NETSCAPE "PREFERENCE\ADVANCED\COOKIES"，在出现的窗口中有三个选项，选择"DISABLECOOKIES"即可关闭COOKIE.在IE中，选择"查看"/"INTERNET选项"/"高级"，在随后出现的窗口中找到"COOKIES"一项，选择"禁止所有的COOKIE 使用"可关闭COOKIE.

　　Konqueror如果没有设置cookie列表，请记住在域名前面加入"."，例如。，否则百度将不会读取cookie（针对KDE 3.3）。