如果你象作者一样记性不好，那么你可能根本记不住人们的名字。我遇到人时，多半只是点点头，问句“吃了嘛！”，而且期望问候到此为止

。如果还需要表示些什么，那么我就得求助于一些狡猾的技巧，好让我能想对方是谁。比如胡扯起一些和对方有关的人，不管他们之间关系多

远，只要能避免不记得对方名字的尴尬就好：“你隔壁邻居的侄子的可爱小狗迈菲斯特怎么样？”通过这个方法，我希望能让对方感到，我确

实很重视他（她），甚至还记得这些琐事，虽然实际上连名字都忘记了。但是，不是我不重视，而是我的记忆力实在是糟糕，而且要记住的名

字又实在太多。如果我能给每个人设置cookies，那么我就不会再犯这种记忆力问题了。

在这篇文章里，我们要学习：

1.什么是Cookies?

2.Cookie的构成

3.操纵Cookies

4.Cookie怪兽

什么是Cookies?

你会问，什么是cookies呢?cookie是浏览器保存在用户计算机上的少量数据。它与特定的WEB页或WEB站点关联起来，自动地在WEB浏览器和

WEB服务器之间传递。

比如，如果你运行的是Windows操作系统，使用InternetExplorer上网，那么你会发现在你的“Windows”目录下面有一个子目录，叫做

“TemporaryInternetFiles”。如果你有空看看这个目录，就会发现里面有一些文件，文件名称看起来就象电子邮件地址。比如在我机器上

的这个目录里，就有“jim@support.microsoft.com”这样的文件。这是一个cookie文件，这个文件从哪来呢？猜一猜，它来自微软的支持站

点。顺便说一句，这不是我的电子邮件地址，特此澄清。

对于管理细小的、不重要的、不想保存在中央数据库里的细节信息，Cookies是个很不错的方案。（这不是说大家的名字不重要。）比如，目

前网站上不断增长的自定义服务，可以为每个用户定制他们要看的内容。如果你设计的就是这样一个站点，那么你怎么来管理这样的信息：一

个用户喜欢绿色的菜单条，而另一个喜欢红色的。确实是个累人的问题。不过，这样的信息，可以很安全地记录到cookie，并保存在用户的计

算机上，而你自己的数据库空间可以留给更长久更有意义的数据。

FYI:Cookies对于安全用途，通常很有用。我不想在此就这一问题过于深入，只是提供一个示例，可以看到如何使用在一段时间之后过期的

cookies来保证站点安全：

1.使用用户名和口令，通过SSL登录。

2.在服务器的数据库里检查用户名和口令。如果登录成功，建立一个当前时间标签的消息摘要(比如MD5)，并把它保存在cookie和服务器数

据库里。把用户的登录时间保存在服务器数据库里面的用户记录里。

3.在进行每个安全事务时（用户处于登录状态的任何事务），把cookie的消息摘要和保存在服务器数据库里的摘要进行比较，如果比较失败，

就把用户引导到登录界面。

4.如果第3步检查通过，那么检查当前时间和登录时间之音经过的时间是否超过允许的时间长度。如果用户已经超时，那么就把用户引到登录

界面。

5.如果第3步和第4步都通过了，那么把登录时间重新设置成当前时间，允许事务发生。那些需要你登录的安全站点，可能多数使用的都是和这

里介绍的类似的方法。

Cookie的构成

Cookies最初设计时，是为了CGI编程。但是，我们也可以使用Javascript脚本来操纵cookies。在本文里，我们将演示如何使用Javascript脚本

来操纵cookies。(如果有需求，我可能会在以后的文章里介绍如何使用Perl进行cookie管理。但是如果实在等不得，那么我现在就教你一手：

仔细看看CGI.pm。在这个CGI包里有一个cookie()函数，可以用它建立cookie。但是，还是让我们先来介绍cookies的本质。

在Javascript脚本里，一个cookie实际就是一个字符串属性。当你读取cookie的值时，就得到一个字符串，里面当前WEB页使用的所有cookies

的名称和值。每个cookie除了name名称和value值这两个属性以外，还有四个属性。这些属性是：expires过期时间、path路径、domain域、

以及secure安全。

Expires–过期时间。指定cookie的生命期。具体是值是过期日期。如果想让cookie的存在期限超过当前浏览器会话时间，就必须使用这个属

性。当过了到期日期时，浏览器就可以删除cookie文件，没有任何影响。

Path–路径。指定与cookie关联的WEB页。值可以是一个目录，或者是一个路径。如果http://www.zdnet.com/devhead/index.html建立了一

个cookie，那么在http://www.zdnet.com/devhead/目录里的所有页面，以及该目录下面任何子目录里的页面都可以访问这个cookie。这就是说

，在http://www.zdnet.com/devhead/stories/articles里的任何页面都可以访问http://www.zdnet.com/devhead/index.html建立的cookie。

但是，如果http://www.zdnet.com/zdnn/需要访问http://www.zdnet.com/devhead/index.html设置的cookes，该怎么办？这时，我们要把

cookies的path属性设置成“/”。在指定路径的时候，凡是来自同一服务器，URL里有相同路径的所有WEB页面都可以共享cookies。现在看另

一个例子：如果想让http://www.zdnet.com/devhead/filters/和http://www.zdnet.com/devhead/stories/共享cookies，就要把path设成“

/devhead”。

Domain–域。指定关联的WEB服务器或域。值是域名，比如zdnet.com。这是对path路径属性的一个延伸。如果我们想让

catalog.mycompany.com能够访问shoppingcart.mycompany.com设置的cookies，该怎么办?我们可以把domain属性设置成“mycompany.com”

，并把path属性设置成“/”。FYI：不能把cookies域属性设置成与设置它的服务器的所在域不同的值。

Secure–安全。指定cookie的值通过网络如何在用户和WEB服务器之间传递。这个属性的值或者是“secure”，或者为空。缺省情况下，该属

性为空，也就是使用不安全的HTTP连接传递数据。如果一个cookie标记为secure，那么，它与WEB服务器之间就通过HTTPS或者其它安全协议

传递数据。不过，设置了secure属性不代表其他人不能看到你机器本地保存的cookie。换句话说，把cookie设置为secure，只保证cookie与WEB

服务器之间的数据传输过程加密，而保存在本地的cookie文件并不加密。如果想让本地cookie也加密，得自己加密数据。

操纵Cookies

请记住，cookie就是文档的一个字符串属性。要保存cookie，只要建立一个字符串，格式是name=<value>（名称＝值），然后把文档的

document.cookie设置成与它相等即可。比如，假设想保存表单接收到的用户名，那么代码看起来就象这样：

document.cookie="username"+escape(form.username.value);

在这里，使用escape()函数非常重要，因为cookie值里可能包含分号、逗号或者空格。这就是说，在读取cookie值时，必须使用对应的

unescape()函数给值解码。

我们当然还得介绍cookie的四个属性。这些属性用下面的格式加到字符串值后面：

name=<value>[;expires=<date>][;domain=<domain>][;path=<path>][;secure]

名称=<值>[;expires=<日期>][;domain=<域>][;path=<路径>][;安全]

<value>,<date>,<domain>和<path>应当用对应的值替换。<date>应当使用GMT格式，可以使用Javascript脚本语言的日期类Date

的.toGMTString()方法得到这一GMT格式的日期值。方括号代表这项是可选的。比如在[;secure]两边的方括号代表要想把cookie设置成安全

的，就需要把";secure"加到cookie字符串值的后面。如果";secure"没有加到cookie字符串后面，那么这个cookie就是不安全的。不要把

尖括号<>和方括号[]加到cookie里（除非它们是某些值的内容）。设置属性时，不限属性，可以用任何顺序设置。

下面是一个例子，在这个例子里，cookie"username"被设置成在15分钟之后过期，可以被服务器上的所有目录访问，可以被"mydomain.com"

域里的所有服务器访问，安全状态为安全。

当前1/2页12下一页阅读全文