Cookie的定义
什么是Cookie?它是存储在用户本地终端上的数据,有时也用其复数形式Cookies,指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)。定义于RFC2109和2965都已废弃,最新取代的规范是RFC6265。
Cookie的主要用途
1、服务器可以利用Cookies包含信息的任意性来筛选并经常性维护这些信息,以判断在HTTP传输中的状态。
2、Cookies最典型的应用是判定注册用户是否已经登录网站,用户可能会得到提示,是否在下一次进入此网站时保留用户信息以便简化登录手续,这些都是Cookies的功用。
3、另一个重要应用场合是“购物车”之类处理。用户可能会在一段时间内在同一家网站的不同页面中选择不同的商品,这些信息都会写入Cookies,以便在最后付款时提取信息。
什么是第三方Cookie
何谓第三方Cookie呢?简单来说,就是用户当前浏览的页面上有通过IFRAME、IMG或script等标签嵌入另外一个域名的链接地址,该链接设置的Cookie就称为第三方Cookie,当前页面设置的Cookie为第一方Cookie。
第三方Cookie带来的隐患
1、个人隐私和安全
Cookies在某种程度上说已经严重危及用户的隐私和安全。它包含了一些敏感信息:用户名,计算机名,使用的浏览器和曾经访问的网站,以及包含的私人信息。
木马危机
Cookie中保存的用户名、密码等个人敏感信息通常经过加密,很难将其反向破解。但这并不意味着绝对安全,黑客可通过木马病毒盗取用户浏览器Cookie,直接通过偷取的Cookie骗取网站信任。
跨站点脚本攻击
通常跨站点脚本攻击往往利用网站漏洞在网站页面中植入脚本代码或网站页面引用第三方法脚本代码,均存在跨站点脚本攻击的可能,在受到跨站点脚本攻击时,脚本指令将会读取当前站点的所有 Cookie 内容(已不存在 Cookie 作用域限制),然后通过某种方式将 Cookie 内容提交到指定的服务器(如:AJAX)。一旦 Cookie 落入攻击者手中,它将会重现其价值。
2、插件
部分网站会在利用Cookie进入插件的植入。
3、广告
部分网站会留取用户的Cookie,而后读取这些Cookie信息,并寻找写入这些cookie的网站,随即发送包含了针对这个网站的相关产品广告的垃圾邮件给这些用户。
措施:
可以采取阻止第三方Cookie的方式来解决以上隐患,当然你也可以对部分网站进行信任,允许这些网站追踪Cookie。例如:Opear浏览器、谷歌浏览器、360极速浏览器都可以设置允许部分指定的网站进行Cookie追踪。
有用
53
