什么是Cookies?

你會問，什么是cookies呢? cookie 是瀏覽器保存在用戶計算機上的少量數(shù)據(jù)。它與特定的WEB頁或WEB站點關(guān)聯(lián)起來，自動地在WEB瀏覽器和WEB服務(wù)器之間傳遞。

比如，如果你運行的是Windows操作系統(tǒng)，使用Internet Explorer上網(wǎng)，那么你會發(fā)現(xiàn)在你的“Windows”目錄下面有一個子目錄，叫做“Temporary Internet Files”。如果你有空看看這個目錄，就會發(fā)現(xiàn)里面有一些文件，文件名稱看起來就象電子郵件地址。比如在我機器上的這個目錄里，就有“jim@support.microsoft.com”這樣的文件。這是一個cookie 文件，這個文件從哪來呢？猜一猜，它來自微軟的支持站點。順便說一句，這不是我的電子郵件地址，特此澄清。

對于管理細(xì)小的、不重要的、不想保存在中央數(shù)據(jù)庫里的細(xì)節(jié)信息，Cookies 是個很不錯的方案。（這不是說大家的名字不重要。）比如，目前網(wǎng)站上不斷增長的自定義服務(wù)，可以為每個用戶定制他們要看的內(nèi)容。如果你設(shè)計的就是這樣一個站點，那么你怎么來管理這樣的信息：一個用戶喜歡綠色的菜單條，而另一個喜歡紅色的。確實是個累人的問題。不過，這樣的信息，可以很安全地記錄到cookie，并保存在用戶的計算機上，而你自己的數(shù)據(jù)庫空間可以留給更長久更有意義的數(shù)據(jù)。

FYI: Cookies 對于安全用途，通常很有用。我不想在此就這一問題過于深入，只是提供一個示例，可以看到如何使用在一段時間之后過期的cookies來保證站點安全：

1. 使用用戶名和口令，通過 SSL 登錄。
2. 在服務(wù)器的數(shù)據(jù)庫里檢查用戶名和口令。如果登錄成功，建立一個當(dāng)前時間標(biāo)簽的消息摘要 (比如 MD5) ，并把它保存在cookie和服務(wù)器數(shù)據(jù)庫里。把用戶的登錄時間保存在服務(wù)器數(shù)據(jù)庫里面的用戶記錄里。
3. 在進(jìn)行每個安全事務(wù)時（用戶處于登錄狀態(tài)的任何事務(wù)），把cookie的消息摘要和保存在服務(wù)器數(shù)據(jù)庫里的摘要進(jìn)行比較，如果比較失敗，就把用戶引導(dǎo)到登錄界面。
4. 如果第3步檢查通過，那么檢查當(dāng)前時間和登錄時間之音經(jīng)過的時間是否超過允許的時間長度。如果用戶已經(jīng)超時，那么就把用戶引到登錄界面。
5. 如果第3步和第4步都通過了，那么把登錄時間重新設(shè)置成當(dāng)前時間，允許事務(wù)發(fā)生。那些需要你登錄的安全站點，可能多數(shù)使用的都是和這里介紹的類似的方法。

Cookies最初設(shè)計時，是為了CGI編程。但是，我們也可以使用Javascript腳本來操縱cookies。在本文里，我們將演示如何使用Javascript腳本來操縱cookies。(如果有需求，我可能會在以后的文章里介紹如何使用Perl進(jìn)行cookie管理。但是如果實在等不得，那么我現(xiàn)在就教你一手：仔細(xì)看看CGI.pm。在這個CGI包里有一個cookie()函數(shù)，可以用它建立cookie。但是，還是讓我們先來介紹cookies的本質(zhì)。

在Javascript腳本里，一個cookie 實際就是一個字符串屬性。當(dāng)你讀取cookie的值時，就得到一個字符串，里面當(dāng)前WEB頁使用的所有cookies的名稱和值。每個cookie除了name名稱和value值這兩個屬性以外，還有四個屬性。這些屬性是： expires過期時間、path路徑、domain域、以及secure安全。

Expires – 過期時間。指定cookie的生命期。具體是值是過期日期。如果想讓cookie的存在期限超過當(dāng)前瀏覽器會話時間，就必須使用這個屬性。當(dāng)過了到期日期時，瀏覽器就可以刪除cookie文件，沒有任何影響。

Path – 路徑。指定與cookie關(guān)聯(lián)的WEB頁。值可以是一個目錄，或者是一個路徑。如果http://www.zdnet.com/devhead/index.html 建立了一個cookie，那么在http://www.zdnet.com/devhead/目錄里的所有頁面，以及該目錄下面任何子目錄里的頁面都可以訪問這個cookie。這就是說，在http://www.zdnet.com/devhead/stories/articles 里的任何頁面都可以訪問http://www.zdnet.com/devhead/index.html建立的cookie。但是，如果http://www.zdnet.com/zdnn/ 需要訪問http://www.zdnet.com/devhead/index.html設(shè)置的cookes，該怎么辦？這時，我們要把cookies的path屬性設(shè)置成“/”。在指定路徑的時候，凡是來自同一服務(wù)器，URL里有相同路徑的所有WEB頁面都可以共享cookies。現(xiàn)在看另一個例子：如果想讓 http://www.zdnet.com/devhead/filters/ 和http://www.zdnet.com/devhead/stories/共享cookies，就要把path設(shè)成“/devhead”。

Domain – 域。指定關(guān)聯(lián)的WEB服務(wù)器或域。值是域名，比如zdnet.com。這是對path路徑屬性的一個延伸。如果我們想讓catalog.mycompany.com 能夠訪問shoppingcart.mycompany.com設(shè)置的cookies，該怎么辦? 我們可以把domain屬性設(shè)置成“mycompany.com”，并把path屬性設(shè)置成“/”。FYI：不能把cookies域?qū)傩栽O(shè)置成與設(shè)置它的服務(wù)器的所在域不同的值。

Secure – 安全。指定cookie的值通過網(wǎng)絡(luò)如何在用戶和WEB服務(wù)器之間傳遞。這個屬性的值或者是“secure”，或者為空。缺省情況下，該屬性為空，也就是使用不安全的HTTP連接傳遞數(shù)據(jù)。如果一個 cookie 標(biāo)記為secure，那么，它與WEB服務(wù)器之間就通過HTTPS或者其它安全協(xié)議傳遞數(shù)據(jù)。不過，設(shè)置了secure屬性不代表其他人不能看到你機器本地保存的cookie。換句話說，把cookie設(shè)置為secure，只保證cookie與WEB服務(wù)器之間的數(shù)據(jù)傳輸過程加密，而保存在本地的cookie文件并不加密。如果想讓本地cookie也加密，得自己加密數(shù)據(jù)。

?

操縱Cookies 請記住，cookie就是文檔的一個字符串屬性。要保存cookie，只要建立一個字符串，格式是name=<value>（名稱＝值），然后把文檔的 document.cookie 設(shè)置成與它相等即可。比如，假設(shè)想保存表單接收到的用戶名，那么代碼看起來就象這樣： document.cookie = "username" + escape(form.username.value); 在這里，使用 escape() 函數(shù)非常重要，因為cookie值里可能包含分號、逗號或者空格。這就是說，在讀取cookie值時，必須使用對應(yīng)的unescape()函數(shù)給值解碼。 我們當(dāng)然還得介紹cookie的四個屬性。這些屬性用下面的格式加到字符串值后面： name=<value>[; expires=<date>][; domain=<domain>][; path=<path>][; secure] 名稱=<值>[; expires=<日期>][; domain=<域>][; path=<路徑>][; 安全] <value>, <date>, <domain> 和 <path> 應(yīng)當(dāng)用對應(yīng)的值替換。<date> 應(yīng)當(dāng)使用GMT格式，可以使用Javascript腳本語言的日期類Date的.toGMTString() 方法得到這一GMT格式的日期值。方括號代表這項是可選的。比如在 [; secure]兩邊的方括號代表要想把cookie設(shè)置成安全的，就需要把"; secure" 加到cookie字符串值的后面。如果"; secure" 沒有加到cookie字符串后面，那么這個cookie就是不安全的。不要把尖括號<> 和方括號[] 加到cookie里（除非它們是某些值的內(nèi)容）。設(shè)置屬性時，不限屬性，可以用任何順序設(shè)置。 下面是一個例子，在這個例子里，cookie "username" 被設(shè)置成在15分鐘之后過期，可以被服務(wù)器上的所有目錄訪問，可以被"mydomain.com"域里的所有服務(wù)器訪問，安全狀態(tài)為安全。 // Date() 的構(gòu)造器設(shè)置以毫秒為單位 // .getTime() 方法返回時間，單位為毫秒 // 所以要設(shè)置15分鐘到期，要用60000毫秒乘15分鐘 var expiration = new Date((new Date()).getTime() + 15 * 60000); document.cookie = "username=" + escape(form.username.value)+ "; expires =" + expiration.toGMTString() + "; path=" + "/" + "; _ domain=" + "mydomain.com" + "; secure"; 讀取cookies值有點象個小把戲，因為你一次就得到了屬于當(dāng)前文檔的所有cookies。 // 下面這個語句讀取了屬于當(dāng)前文檔的所有cookies var allcookies = document.cookie; 現(xiàn)在，我們得解析allcookies變量里的不同cookies，找到感興趣的指定cookie。這個工作很簡單，因為我們可以利用Javascript語言提供的擴展字符串支持。 如果我們對前面分配的cookie "username" 感興趣，可以用下面的腳本來讀取它的值。 // 我們定義一個函數(shù)，用來讀取特定的cookie值。 function getCookie(cookie_name) { var allcookies = document.cookie; var cookie_pos = allcookies.indexOf(cookie_name); ?// 如果找到了索引，就代表cookie存在， ?// 反之，就說明不存在。 ?if (cookie_pos != -1) ?{ ??// 把cookie_pos放在值的開始，只要給值加1即可。 ??cookie_pos += cookie_name.length + 1; ??var cookie_end = allcookies.indexOf(";", cookie_pos); ??if (cookie_end == -1) ??{ ???cookie_end = allcookies.length; ??} ??var value = unescape(allcookies.substring(cookie_pos, cookie_end)); ?} ?return value; } // 調(diào)用函數(shù) var cookie_val = getCookie("username"); 上面例程里的 cookie_val 變量可以用來生成動態(tài)內(nèi)容，或者發(fā)送給服務(wù)器端CGI腳本進(jìn)行處理。現(xiàn)在你知道了使用Javascript腳本操縱cookies的基本方法。但是，如果你跟我一樣，那么我們要做的第一件事，就是建立一些接口函數(shù)，把cookies處理上的麻煩隱藏起來。不過，在你開始編程之前，稍候片刻。這些工作，早就有人替你做好了。你要做的，只是到哪去找這些接口函數(shù)而已。 比如，在David Flangan的Javascript: The Definitive Guide 3rd Ed.這本書里，可以找到很好的cookie應(yīng)用類。你也可以在Oreilly的WEB站點上找到這本書里的例子。本文最后的鏈接列表里，有一些訪問這些cookie示例的直接鏈接。