HTTP Cookie 简介
HTTP Cookie 源于“魔法 Cookie”(magic cookies),这一术语源自“幸运饼干”(fortune cookies)。Lou Montulli 对“魔法 Cookie”进行了改造,从而创造了如今广泛使用的 HTTP Cookie。作为一名网页浏览器程序员,他于 1994 年开发了 HTTP Cookie。
尽管这些Cookie的功能和用途保持不变,但旧版Cookie与我们今天使用的HTTP Cookie之间仍存在某些差异。让我们在下文中具体看看:
魔术Cookie
“魔术 Cookie”是一个过时的计算机术语,主要由 Ubuntu 程序员使用。它们是信息包,在传输过程中信息内容不会发生任何改变。通常用于在计算机数据库系统中保存企业内部网络的登录信息。
HTTP Cookie
如前所述,Lou Montulli受“魔法Cookie”启发,为网页浏览器创建了HTTP Cookie。最初,其目的是帮助在线购物网站解决服务器过载问题,并记住购物车中的商品。这些Cookie是当今最广泛使用的类型。
与其他Cookie类似,HTTP Cookie包含由Web服务器发送至用户Web浏览器的信息片段。用户名和密码等信息会附带一个唯一的标识符一并发送给用户。
这些唯一标识符有助于 Web 服务器区分不同用户,从而提升浏览体验。Cookie 一旦发送至浏览器,便会存储在用户的计算机上。
因此,当用户再次访问该网站时,相同的 Cookie 会被发回服务器。这也有助于判断浏览器是否发送了多个请求,并记住来自无状态 HTTP 协议的指定信息。
HTTP Cookie 的用途
HTTP Cookie 已成为 Web 开发的核心组成部分,所有现代浏览器均支持该功能。因此,如果不使用 Cookie,大多数网页将无法正常运行。Cookie 中存储的信息并不一定包含个人隐私信息。不过,某些 Cookie 仅在用户同意的情况下才会包含个人数据。
对于需要自定义主题、登录功能及其他高级特性的网站而言,Cookie 至关重要。通常,它们被用于广告领域,根据用户最近的在线活动和偏好展示广告。
因此,HTTP Cookie 主要用于以下几个方面:
会话管理
会话是指用户在网站上停留的时间段。在整个会话期间,用户会通过多种方式与网站进行交互。
一些常见操作包括登录和将商品加入购物车。借助 Cookie,用户的活动和偏好会以 Web 服务器发送的 Cookie 形式保存下来。
因此,若用户意外关闭网站,Cookie可避免其重复登录或再次将商品加入购物车。Cookie会记住此类信息,帮助用户节省重复操作的时间。因此,Cookie能帮助网站记住需要保留的任何信息。
个性化
动态网站的主要功能是允许用户根据自身需求和偏好自定义网站功能。
一些常见的功能包括自定义颜色、设置用户所在位置,以及语言偏好和用户使用的网页浏览器类型等其他元素。
尽管大多数网页浏览器具有相同的功能,但某些浏览器显示网页的方式可能与其他浏览器略有不同。
因此,Cookie 负责记住和存储这些信息,以帮助用户获得更好的在线体验。因此,当用户下次访问网站时,Cookie 可以向服务器告知用户的偏好。
跟踪
此外,部分 Cookie 还用于追踪用户的在线活动。Cookie 是简单的文本文件,其中包含用户信息片段,有助于服务器了解用户的兴趣和偏好。因此,网站方可以据此调整网站元素以适应用户需求。
然而,部分 Cookie 还能在用户访问网站时,或当浏览器发出 HTTP 请求时,分析并记录用户行为。通过整合用户在线活动获取的信息,可构建用户的在线画像。
当其他网站访问这些信息时,便能据此调整其页面元素以匹配用户的偏好。
最近,Ebiquity 和 Usercentrics 利用 Cookiebot CMP 的深度扫描技术发现,超过 92% 的网站至少使用了一个跟踪 Cookie。
HTTP Cookie 的类型
HTTP Cookie 主要分为两类,即会话 Cookie 和持久性 Cookie。
顾名思义,会话 Cookie 具有临时性,而持久性 Cookie 的使用和访问周期则更长。因此,可将其定义如下:
- 会话 Cookie
如前所述,会话是指用户在特定网站上停留的时间长度。
同样地,会话 Cookie 仅在用户访问期间被使用和访问。它们存储在随机访问内存中,而非本地硬盘。
在绝大多数情况下,会话Cookie仅在浏览网站时使用。例如,当用户浏览网站以查找信息或购买产品时。只要用户关闭网站,会话结束,会话Cookie就会自动删除。
会话Cookie最常见的用途是支持第三方匿名化插件的运行,并使“返回”按钮能够记住网站的状态。它们主要用于维护用户隐私。
- 持久性 Cookie
与会话Cookie相比,持久性Cookie存储在用户计算机的硬盘中。它们可以无限期地保留在系统中,直到被用户手动删除。
不过,大多数持久性 Cookie 都有过期日期,到期后会自动从计算机中删除。
持久性 Cookie 通常用于以下目的:
身份验证 -
用户的登录信息存储在持久性 Cookie 中。这有助于网站记住用户,避免其重复登录。因此,其目的是简化用户的登录体验。
因此,由于 Cookie 负责记住密码,用户无需反复输入登录凭据。
跟踪 -
持久性 Cookie 负责追踪用户多次访问网站的情况。它有助于记住用户的偏好,并记录用户在访问期间与之交互的网页及元素。
基于这些活动,网站可以推荐类似的信息或产品,从而留住用户。
HTTP Cookie 是如何工作的?
创建 HTTP Cookie 的过程非常简单。每当用户向服务器发送 HTTP 请求以访问网页时,Cookie 就会随响应一并发送。
网页浏览器接收该响应,并将 Cookie 永久存储或仅在当前会话期间保留,具体取决于用户访问的网站类型。
不过,会生成不同级别的 Cookie 并发送至用户的系统。其中包括以下几种:
1. 第一方 Cookie
当 Cookie 的方案和域名与当前网站相同时,即为第一方 Cookie。这是最尊重隐私的 Cookie,其他网站无法访问。因此,对用户而言,这是最安全的 Cookie 级别。
2. 第三方 Cookie
反之,若 Cookie 的方案和域名与 Web 服务器不同,则被视为第三方 Cookie。这意味着提供给用户的 Cookie 并非来自同一网站。此类 Cookie 主要用于追踪用户行为和投放广告。
第三方 Cookie 最常见的例子是 Google 使用的 Cookie。其广告平台 AdSense 会利用第三方 Cookie,根据您的在线活动和搜索词向您展示相关产品及信息。
如果网站的图片或其他元素存储在不同的网络服务器上,则该网站即使用了第三方 Cookie。默认情况下,大多数浏览器都设置为阻止包含追踪器的第三方 Cookie。这是因为第三方 Cookie 也被称为追踪 Cookie。
因此,当用户访问多个网站时,它们可以评估用户的浏览习惯和历史记录。某些扩展程序也能拦截第三方Cookie以保护隐私。
3. 僵尸 Cookie
僵尸Cookie是第三方Cookie的一种延伸,会在硬盘上无限期存储。即使被删除,它仍会持续存在并再次出现。僵尸Cookie最初源于Adobe Flash存储区创建和存储的信息。
因此,它们也被称为Flash Cookie,且很难从系统中彻底删除。据报道,"僵尸Cookie"(即Flash Cookie文件)曾迫使Adobe Systems Inc.停止在98%的消费者计算设备上处理Flash Cookie。
网络分析公司通常利用它来追踪用户的浏览历史和在线活动。此外,它常被用于禁止用户访问特定网站。
HTTP Cookie 为何可能带来风险?
首先,需要明确的是,Cookie 并非恶意软件或病毒。它只是一个简单的文件,其中包含有关用户浏览习惯和会话数据的信息。
然而,针对计算机系统的网络攻击可能通过访问这些Cookie来获取用户的浏览会话权限。因此,黑客可以借助Cookie中存储的信息,在其系统上“复制”用户的在线活动。
Cookie 中存储的数据和信息在其生命周期内不会改变。因此,Cookie 可能因其存储的信息类型而具有潜在风险。若黑客获取了这些信息,便可能肆意利用其对用户造成危害。
关于 HTTP Cookie 的法规
您应该已经注意到,大多数网站在您的硬盘上创建和存储 Cookie 之前都会征得您的同意。因此,您可以根据个人偏好接受或拒绝 Cookie。拒绝 Cookie 对网页本身影响不大。
然而,如果网页使用了存储在其他服务器上的元素(即第三方 Cookie),则可能会影响您的浏览体验。
上述前提条件是由于以下监管机构的要求而默认生效的:
上述所有监管机构均具有全球影响力,且万维网上的任何网站都必须遵守其规定。因此,所有网站都必须告知用户其使用的 Cookie 类型,并在创建和存储这些 Cookie 之前征得用户同意。
此外,网站还必须在不使用Cookie的情况下提供大部分在线服务。
如何识别安全的HTTP Cookie?
如前所述,第一方Cookie与网站具有相同的架构和域名。因此,第一方Cookie是最安全且最尊重隐私的Cookie。它们仅用于浏览该网站,其他网站无法访问。
因此,访问网站时请务必查看地址栏中的域名,并确保其使用 HTTPS 协议。
例如,如果网页地址类似于 https://www.google.com/,则该网站是安全的。然而,如果网站使用的是“HTTP”协议,则不安全,第三方可以访问其 Cookie。
结论
总而言之,HTTP Cookie 是流畅网站体验的重要组成部分。
它们用于记住用户名和密码等重要信息,从而免去用户重复操作的麻烦。此外,它还能帮助用户根据自身需求和偏好浏览网站。
请务必警惕那些使用第三方 Cookie 且未采用“HTTPS”协议的网站。此类网站可能会在您的系统中存储 Cookie,而黑客或其他网站可能访问这些 Cookie。
Cookie 现在使用现代 API 将其存储在系统中。这些被称为 Web 存储 API 和索引数据库的现代 API 用于本地存储。因此,您可以借助 WebScrapingAPI 识别这些 API。
这是一款从任意网页提取原始 HTML 的实用工具。借助它,您将能够识别网站中哪些元素使用了第三方 Cookie 以及由谁提供。该工具还能处理代理服务器,并在真实浏览器中渲染 JavaScript 及验证码。立即开始使用。提供免费试用。
