Web前端學習次日（cookie 一）

CookIe安全

cookie一個神奇的機制，不管什麼請求中都會帶有cookie字段。

能夠經過服務器響應頭的Set-Cookie字段添加，修改和刪除，大多數狀況下，客戶端經過JavaScript也能夠添加，修改和刪除cookie

cookie重要字段

[name][value][domain][path][expires][httponly][secure]
對應着 名稱，值，所屬域名，所屬相對根路徑，過時時間，是否有HttpOnly標誌，是否有Secure標誌

子域Cookie機制

經過domain字段機制設置cookie，若是不指定domain的值，默認是本地。例：

document.cookie="test=1";

路徑Cookie機制

path字段機制，設置cookie時，若是不指定path的值，默認就是目標頁面的路徑。例：

www.xxxx.com/admin/index.php頁面經過JavaScript來設置一個Cookie
document.cookie="test=1";

path的值就是/admin/。經過指定path字段，JavaScript有權限設置任意cookie到任意路徑下，可是隻有目標路徑下的頁面JavaScript才能讀取到該cookie。

跨路徑獲取：

xc=function(src){
    var o =document.createElement("iframe");//iframe進入同域的目標頁面
    o.src =src;
    document.getElementsByTagName("body")[0].appendChild(0);
    o.onload=function(){
//iframe加載完成後
       d=o.contenDocument || o.contentWindow.document;
//獲取document對象
       alert(d.cookie);//獲取cookie
    };      
}('http://www.xxxx.com/admin/index.php');

經過path不能防止重要的cookie被盜取。