前些天發(fā)現(xiàn)了一個巨牛的人工智能學(xué)習(xí)網(wǎng)站，通俗易懂，風(fēng)趣幽默，忍不住分享一下給大家。點擊跳轉(zhuǎn)到教程。

Cookie和Session是為了在無狀態(tài)的HTTP協(xié)議之上維護(hù)會話狀態(tài)，使得服務(wù)器可以知道當(dāng)前是和哪個客戶在打交道。本文來詳細(xì)討論Cookie和Session的實現(xiàn)機(jī)制，以及其中涉及的安全問題。

因為HTTP協(xié)議是無狀態(tài)的，即每次用戶請求到達(dá)服務(wù)器時，HTTP服務(wù)器并不知道這個用戶是誰、是否登錄過等。現(xiàn)在的服務(wù)器之所以知道我們是否已經(jīng)登錄，是因為服務(wù)器在登錄時設(shè)置了瀏覽器的Cookie！Session則是借由Cookie而實現(xiàn)的更高層的服務(wù)器與瀏覽器之間的會話。

Cookie是由網(wǎng)景公司的前雇員Lou Montulli在1993年發(fā)明的，現(xiàn)今Cookie已經(jīng)廣泛使用了。

Cookie 的實現(xiàn)機(jī)制

Cookie是由客戶端保存的小型文本文件，其內(nèi)容為一系列的鍵值對。?Cookie是由HTTP服務(wù)器設(shè)置的，保存在瀏覽器中， 在用戶訪問其他頁面時，會在HTTP請求中附上該服務(wù)器之前設(shè)置的Cookie。 Cookie的實現(xiàn)標(biāo)準(zhǔn)定義在RFC2109: HTTP State Management Mechanism中。 那么Cookie是怎樣工作的呢？下面給出整個Cookie的傳遞流程：

總之，服務(wù)器通過Set-Cookie響應(yīng)頭字段來指示瀏覽器保存Cookie， 瀏覽器通過Cookie請求頭字段來告訴服務(wù)器之前的狀態(tài)。 Cookie中包含若干個鍵值對，每個鍵值對可以設(shè)置過期時間。

Cookie 的安全隱患

Cookie提供了一種手段使得HTTP請求可以附加當(dāng)前狀態(tài)， 現(xiàn)今的網(wǎng)站也是靠Cookie來標(biāo)識用戶的登錄狀態(tài)的：

這里面的問題在哪里？

我們知道可以發(fā)送HTTP請求的不只是瀏覽器，很多HTTP客戶端軟件（包括curl、Node.js）都可以發(fā)送任意的HTTP請求，可以設(shè)置任何頭字段。 假如我們直接設(shè)置Cookie字段為authed=true并發(fā)送該HTTP請求， 服務(wù)器豈不是被欺騙了？這種攻擊非常容易，Cookie是可以被篡改的！

Cookie 防篡改機(jī)制

服務(wù)器可以為每個Cookie項生成簽名，由于用戶篡改Cookie后無法生成對應(yīng)的簽名， 服務(wù)器便可以得知用戶對Cookie進(jìn)行了篡改。一個簡單的校驗過程可能是這樣的：

通過給Cookie添加簽名，使得服務(wù)器得以知道Cookie被篡改。然而故事并未結(jié)束。

因為Cookie是明文傳輸?shù)?/strong>， 只要服務(wù)器設(shè)置過一次authed=true|xxxx我不就知道true的簽名是xxxx了么， 以后就可以用這個簽名來欺騙服務(wù)器了。因此Cookie中最好不要放敏感數(shù)據(jù)。 一般來講Cookie中只會放一個Session Id，而Session存儲在服務(wù)器端。