Cookie是服务器生成并存储于用户设备的名/值对数据,用于会话管理、个性化设置与行为追踪;分为会话/持久、第一方/第三方、安全Cookie五类,按域、路径、加密等机制保障隐私与安全。
一、Cookie的基本定义与来源
Cookie是Web服务器生成并发送至用户浏览器的一小段文本数据,以“名/值对”形式存储在用户的设备上。它最早由网景公司员工Lou Montulli于1993年3月发明,用于解决HTTP协议无状态特性带来的会话识别难题。
1、当您首次访问某个网站时,该网站的服务器会通过HTTP响应头向您的浏览器发送Set-Cookie指令。
2、浏览器接收到后,将该数据按域名、路径、过期时间等规则保存至本地存储区域。
3、此后每次向同一域名发起请求时,浏览器自动在HTTP请求头中附带Cookie字段,将此前存储的数据回传给服务器。
二、Cookie的核心用途分类
Cookie并非单一功能工具,而是依据使用场景划分为三类主要用途:会话管理、个性化设置与用户行为追踪。每类用途对应不同生命周期与安全要求。
1、会话管理:用于维持用户登录状态,例如电商网站在您未退出前保持“已登录”标识,避免重复验证。
2、个性化设置:记录用户偏好的界面语言、主题色、字体大小等,使下次访问自动适配历史选择。
3、行为追踪:第三方广告平台通过跨站Cookie收集浏览路径、点击偏好等信息,用于定向投放内容。
三、Cookie的常见类型与特征
根据存储方式、作用范围与存活周期,Cookie可分为五种典型类型,各自具备明确的技术边界与使用限制。
1、会话Cookie(Session Cookie):仅驻留在浏览器内存中,关闭浏览器窗口即被清除,不写入硬盘。
2、持久Cookie(Permanent Cookie):设定明确的Expires或Max-Age属性,可长期保留在设备中,如“7天内免密登录”所依赖的凭证。
3、第一方Cookie:由当前访问的主域名(如example.com)设置并读取,仅限该域及其子域使用。
4、第三方Cookie:由非当前访问域名(如ad-network.com)嵌入脚本设置,常用于广告与分析服务,现代浏览器已普遍限制其默认行为。
Android 基础知识入门 pdf,介绍什么是Android、Android可以完成的功能、Android架构、Android应用程序框架、Android函数库等,从开始安装Android开始,到环境配置,到一步步编写复杂的应用程序,本书将带你了解基础但有内涵的Android入门知识。
5、安全Cookie(Secure Cookie):仅允许通过HTTPS连接传输,且无法被JavaScript通过document.cookie读取(HttpOnly属性),专用于身份认证等高敏感场景。
四、Cookie在不同操作系统与浏览器中的存储位置
Cookie作为本地文件或内存数据存在,其物理路径因操作系统与浏览器而异,但均受严格权限控制,普通用户无法直接修改内容。
1、Windows系统中,Internet Explorer旧版Cookie文件存于C:/Windows/Cookies目录,文件名格式为“用户名@域名[编号].txt”。
2、Windows 10/11中,Microsoft Edge将Cookie加密存储于SQLite数据库,路径为:C:\Users\用户名\AppData\Local\Microsoft\Edge\User Data\Default\Network\Cookies。
3、macOS系统下,Safari将Cookie保存在~/Library/Cookies/Cookies.binarycookies文件中,采用二进制编码格式。
4、Linux系统中,Chrome系浏览器通常将Cookie存于~/.config/google-chrome/Default/Network/Cookies(SQLite格式)。
五、Cookie的隐私性与安全性机制
为防止恶意读取或越权访问,Cookie设计包含多项内置防护策略,包括作用域限定、传输加密与脚本隔离等关键约束。
1、Domain与Path属性限制Cookie仅在指定域名及路径下生效,防止跨域泄露。
2、Secure标志确保Cookie仅通过HTTPS连接发送,阻断明文HTTP链路中的截获风险。
3、HttpOnly标志禁止JavaScript调用document.cookie读取该Cookie,大幅降低XSS攻击窃取会话令牌的可能性。
4、SameSite属性(Lax或Strict)限制第三方上下文中是否发送Cookie,有效缓解CSRF攻击面。
