web安全——cookie的简介，cookie的存储和获取 _cookie

这篇文章写的是关于cookie的存储和获取，小白们可以看一看看，大佬飘过~
首先，我们既然说到cookie的存储和获取，我们就要明确什么是cookie？
Cookie说白了就是储存在用户本地终端上的数据，指的是某些网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据，通常会经过加密。也可以叫做浏览器缓存。
Cookie 主要是在 HTTP 协议下，服务器或脚本可以维护客户工作站上信息的一种方式。
Cookie大概就是这样的一个意思，相信大家了解了什么是cookie之后，现在让我们进入今天我们的主要内容：cookie的获取和存储。

文章插图

在做用户登录的时候经常会用到cookie，那么如何将用户名和密码存储在cookie中呢？那么有如何获取cookie中的数据呢，接下来我来给大家详细讲解。
1. 利用jqery.cookie.js保存数据。
在页面中引入jqery.cookie.js，如果在你打开的页面中有"记住密码"这个单选框，判断checked是否为true 。如果"是"，获取用户名和密码的值，$.cookie(id，对应id存储的值，{expires: 存储的期限})

if($("#rememberme").prop("checked") == true) {
var userName = $("#user").val();
var password = $("#psw").val();
$.cookie("rememberme", "true", {expires: 7}); // 存储一个带7天期限的 cookie
$.cookie("user", userName, {expires: 7}); $.cookie("psw", passWord, {expires: 7});

如果没有勾选"记住密码"，设置存储期限为-1即可。这样提交之后cookie就会存储你的数据了。
可以打开控制台，选中Application>Storage>Cookie之中进行查看。

文章插图

2. 如何获取cookie中的数据？
方法：$.cookie(name)
举例：$.cookie('rememberme'),$.cookie('user'),$.cookie('password')
如果说cookie设置的期限还没有过，我们就需要将cookie中的数据显示到页面上，先判断cookie中的rememberme是否为true，如果是true，将cookie中的值赋给对应的文本框，勾选"记住密码"单选框。

if($.cookie('rememberme')==='true'){
$("#user").val($.cookie('user'));
$("#psw").val($.cookie('psw')); 4 $("#rememberme").prop('checked',true);
}

以上就是我们今天所讲的到的内容，对于cookie的获取和存储。
尽管cookie没有病毒那么危险，但是呢，它仍包含了一些敏感信息：用户名，计算机名，使用的浏览器和曾经访问的网站。用户不希望这些内容泄漏出去，尤其是当其中还包含有私人信息的时候。
这其实不是危言耸听，一种名为跨站脚本攻击（Cross site scripting）就可以达到此目的。通常跨站脚本攻击往往就是利用网站漏洞在网站页面中植入脚本代码或网站页面引用第三方法脚本代码，均存在跨站脚本攻击的可能，在受到跨站脚本攻击时，脚本指令将会读取当前站点的所有 Cookie 内容（这个时候已不存在 Cookie 作用域限制），然后通过某种方式将 Cookie 内容提交到指定的服务器（如：AJAX）。一旦 Cookie 落入攻击者手中，它将会重现其价值。

文章插图

建议开发人员在向客户端 Cookie 输出敏感的内容时（比如：该内容能识别用户身份）：
1）设置该 Cookie 不能被脚本读取，这样在一定程度上解决上述问题。
2）对 Cookie 内容进行加密，在加密前嵌入时间戳，保证每次加密后的密文都不一样（并且可以防止消息重放）。
3）客户端请求时，每次或定时更新 Cookie 内容（即：基于第2小条，重新加密）
4）每次向 Cookie 写入时间戳，数据库需要记录最后一次时间戳（防止 Cookie 篡改，或重放攻击）。
5）客户端提交 Cookie 时，先解密然后校验时间戳，时间戳若是小于数据数据库中记录，即意味发生攻击。
基于上述建议，即使 Cookie 被窃取，却因 Cookie 被随机更新，且内容无规律性，攻击者无法加以利用。另外利用了时间戳另外一大好处就是防止 Cookie 篡改或重放。
Cookie 窃取：搜集用户cookie并发给攻击者的黑客。攻击者将利用cookie信息通过合法手段进入用户账户。
Cookie 篡改：利用安全机制，攻击者加入代码从而改写 Cookie 内容，以便持续攻击。