现在很多网站都用到Cookies,特别是用户的登陆以及购物网站的购物车。Cookies 通常用来存储用户信息和用户在某应用系统的操作,当一个用户使用Cookies 访问了某一个应用系统时,Web 服务器将发送关于用户的信息,把该信息以Cookies的形式存储在客户端计算机上,这可用来创建动态和自定义页面或者存储登陆等信息。
如果Web 应用系统使用了Cookies,就必须检查Cookies是否能正常工作。测试的内容包括Cookies是否起作用,存储的内容是否正确,是否按预定的时间进行保存,刷新对Cookies有什么影响等。
http://ccc.atmos.colostate.edu/~hail/howto/faq/coo...
如果到\LocalSettings\Temporary Internet Files文件夹下查看每个Cookies文件是一件很麻烦的事情,这个时候就需要有工具来帮助我们。
1、Cookie Editor
http://www.proxoft.com/CookieEditor.asp
CookieEditor is an application that helps you manage cookies set by InternetExplorer, Netscape or Mozilla Browsers.
CookieEditor allows you to maintain the level of your privacy by allowing you to see,edit or delete any unwanted cookies. It searches your drives for all IE cookiesthen displays them is easy grid-like format. You can
examine content of anycookie or delete it.
Foradvanced users, you can also edit the contents of cookies. So, for example, ifyou want to change your zip code for
'movies.yahoo.com', or move up theexpiration date of a given cookie, you could do so without even opening yourbrowser!
比较大的特点是可以显示出IE,Netscape和Firefox的Cookie;因为Netscape和Firefox的Cookie不是存储在TemporaryInternet Files文件夹下的,而是在ApplicationData文件夹下的对应文件夹里。
2、IECookiesView
http://www.nirsoft.net/utils/iecookies.html
一个可以帮你搜寻并显示出你计算机中所有的Cookies档案的数据,包括是哪一个网站写入Cookies的,内容有什么,写入的时间日期及此Cookies的有效期限..等等资料。你是否常常怀疑一些网站写入Cookies内容到你的计算机中是否会对你造成隐私的侵犯!使用软件来看看这些Cookies的内容都是些什么呢!如此你就不会再担心怀疑了。此软件只对IE浏览器的Cookies有效。
3、Cookies Manager
http://home.nordnet.fr/~pmdevigne/CookiesManager_e...
CookiesManager helps you to select which cookies you want to keep and which cookiesyou want to delete.
4、My Cookie
MyCookie是一款可以实时查看、修改IE内 Cookied的软件。并且可以设置Cookie值的生命周期。
实例
因特网的Cookie技术极其简单,却有着旺盛的生命力。Cookie开始引起众人的注意是从2000年二月份随着网络隐私权的提出开始的,有关的辩论至今仍在继续。从另一方面来说,Cookie使得浏览网页更容易了。几乎所有的主要的网站设计者都使用了Cookie,因为他们想为浏览网站的人提供一个更好的浏览环境,同时也能更加准确地收集访客的信息。
有家颇有影响的报纸上曾刊登了一篇很有深度的关于网络隐私的文章,上面对于Cookie的定义是这样的:
“Cookie是Web网站放在您的硬盘上的程序。它守在您的电脑里,搜集您的信息以及您在因特网上所做的任何事情,当Web站点需要的时候它能够下载所有这些搜集到的信息。”
像这样的定义在报刊中相当普遍。问题是,它的定义犯了很大的错误。Cookie不是程序,而且它不能像程序一样地运行,所以它无法为自己搜集任何信息。它也不能从您的电脑上取得您的任何个人资料。
Cookie的比较确切的定义应该是这个样子:
“Cookie是Web服务器保存在用户硬盘上的一段文本。Cookie允许一个Web站点在用户的电脑上保存信息并且随后再取回它。信息的片断以‘名/值’对(name-value
pairs)的形式储存。”
举例来说,一个Web站点可能会为每一个访问者产生一个唯一的ID,然后以Cookie文件的形式保存在每个用户的机器上。
如果您使用IE浏览器访问Web,您会看到所有保存在您的硬盘上的Cookie。它们最常存放的地方是:c:windowscookies(在Win
2000中则是C:Documents and Settings您的用户名Cookies——作者注)。在我的机器上共有165个文件。每一个文件都是一个由“名/值”对组成的文本文件,另外还有一个文件保存有所有对应的Web站点的信息。
在这个文件夹里的每个Cookie文件都是一个简单而又普通的文本文件。透过文件名,您可以看到是哪个Web站点在您的机器上放置了Cookie(当然站点信息在文件里也有保存)。您也能双击打开每一个Cookie文件。
比如,我访问了goto.com,而且这个站点在我的电脑上放了个Cookie。goto.com的Cookie文件包含了这样的内容:
UserID A9A3BECE0563982D
www.goto.com/
goto.com在我的电脑上存入了一个单一的“名/值”对。“名/值”对的“名”是UserID,“值”是A9A3BECE0563982D。在我第一次访问goto.com的时候,该网站为我分配了一个唯一的ID并存在我的电脑里。
(注:除了上面举例的“名/值”对,可能会有其它的“名/值”对同时保存下来。那是浏览器的一些内部信息,一般用户不必多做了解。)
Amazon.com在我的电脑上保存了稍稍多一些的信息。当我查看Amazon在我的电脑上建立的Cookie文件时,它包含以下内容:
session-id-time 954242000 amazon.com/
session-id 002-4135256-7625846 amazon.com/
x-main eKQIfwnxuF7qtmX52x6VWAXh@Ih6Uo5Hamazon.com/
ubid-main 077-9263437-9645324 amazon.com/
以上内容显示出Amazon存储了一个主用户ID ubid-main,一个标记每次任务的ID session-id及任务发生的时间session-id-time。还有一个x-main,不知道是什么。
大多数的网站在您的电脑上只保存一条信息,即用户ID。但一个站点可以用Cookie存储的“名/值”对的最大数目没有任何限制。
一个“名/值”对仅仅是一条命名的数据,它不是程序,也不能“做”任何事情。一个网站只能取得它放在您的电脑中的信息,它无法从其它的Cookie文件中取得信息,也无法得到您的电脑上的其它任何东西。
Cookie数据仅仅是Web站点在浏览者硬盘上存储的“名/值”数据对。这就是Cookie的所有内容。Web站点保存了数据,随后又把它取回。一个Web站点只能取得它保存在你电脑上的内容,无法偷窥别的Cookie,更不要说电脑上其他的数据。
Cookie数据的流动过程如下:
·如果在浏览器上键入了一个Web站点的URL,浏览器向Web站点请求读取网页。比如,您输入了:
http://www.amazon.com
浏览器将从Amazon的服务器读取它的主页。
·在做上面工作的同时,浏览器将从电脑上寻找Amazon网站设置的Cookie文件。如果找到了Amazon的Cookie文件,浏览器会把文件中的所有“名/值”对同先前的URL一同发给Amazon服务器。如果没有找到,就不发送Cookie数据。
·Amazon服务器接收Cookie数据和对网页的请求。如果存在“名/值”对,Amazon将使用它。
·如果没有收到“名/值”对,Amazon知道您在此之前没有访问过它的站点,服务器会为您创建一个新的ID放进Amazon的数据库中,然后把“名/值”对放在传回的网页的头信息里传给您。您的浏览器将在硬盘上保存“名/值”对。
·每当您再次访问网站时,网站服务器会改变“名/值”对或增加新的“名/值”对。
另外,服务器会随着“名/值”对发送一些其他信息。其一是生存期(Expiration date);还有一个是路径(网站借此把不同的Cookie值与不同的网站部位关联起来)。
您有权控制这个过程。您可以设置一个选项让浏览器在收到网站发来的“名/值”对时提醒您,由您决定是否接受。
一. Cookie技术背景说明
1.Cookie文件的实质
Cookie实际上是Web服务端与客户端(典型的是浏览器)交互时彼此传递的一部分内容,内容可以是任意的,但要在允许的长度范围之内。客户端会将它保存在本地机器上(如IE便会保存在本地的一个txt文件中),由客户端程序对其进行管理,过期的Cookie会自动删除。每当客户端访问某个域下某个目录中的网页时,便会将保存在本地并且属于那个域下对应目录的有效Cookie信息附在网页请求的头部信息当中一并发送给服务端。
2.Cookie文件的保存位置
不同的客户端,其Cookie的保存方式、保存位置各不相同,这里只说一下Windows系统中IE的Cookie文件保存位置。
在Windows 2000/XP系统中,Cookie默认保存在C:/Documentsand
Settings/<username>/Cookies/目录下(此处的<username>为你登录系统时使用的用户名,在开始->运行中输入cookies便可打开该目录),命名规则为<username>@<domain>.txt。
与2000/XP不同的是,在Windows95/98/ME系统中Cookie文件默认是保存在C:/Windows/Cookies/目录下的。
3.Cookie文件的格式
IE的Cookie文件实际上就是一个txt文本文件,只不过换行符标记为Unix换行标记(0x0A),由于记事本对Unix换行标记不兼容,打开后内容全在一行看起来不方便,我们可以用EditPlus或UltraEdit-32打开,打开之后,会看到形式如下的内容:
name
value
domain/
1600
1263382784
30020896
452781968
30020892
*
每一行的内容说明:
第一行 Cookie变量名
第二行 Cookie变量值
第三行 该Cookie变量所属域,形如csdn.net/、blog.csdn.net/或blog.csdn.net/lixianlin/
第四行 可选标志
第五行 该Cookie过期时间(FILETIME格式)的高位整数
第六行 该Cookie过期时间(FILETIME格式)的低位整数
第七行 该Cookie创建时间(FILETIME格式)的高位整数
第八行 该Cookie创建时间(FILETIME格式)的低位整数
第九行 Cookie记录分隔符(为一个星号*
)
第三行中Cookie变量所属域,如csdn.net/,它是一个根域,也就是一级域,表示该Cookie变量在该根域下的所有目录中的网页都有效,不管访问该域下的哪个目录中的网页,浏览器都会将该Cookie信息附在网页头部信息当中发送给服务端;blog.csdn.net/,是一个二级域,表示该Cookie只对blog这个二级域下目录中的网页有效;blog.csdn.net/lixianlin/,是一个二级域下的目录,只有访问blog这个二级域下lixianlin这个目录中的网页时,才会把该Cookie信息附在请求头部信息当中发送给服务端。需要指出的是csdn.net/和www.csdn.net/并不相同,前者是根域,后者是一个二级域,只是人们习惯了www这样的形式,所以大多数的网站首页都用http://www.xxx.com/这样的二级域来访问。
二.Cookie测试
1.Cookie的保存路径
说明:
a) 通常情况下cookie的保存路径可以通过:注册表“HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellFolders/Cookies
”查看
b) 比较异常的情况,cookie保存路径为“%userprofile%/LocalSettings/Temp/Cookies”
测试影响因素:
a) 默认cookie目录
b) 用户自定义cookie目录(目录为系统盘,其他磁盘,中文,全半角,简繁体,特殊字符,空格,超长路径)
c) 系统用户名为中文
d) 目标文件夹不存在
e) 目标文件夹只读
f) 目标文件夹隐藏
g) 目标文件夹无访问权限
h) 开启UAC
2. 应用程序写Cookie权限
说明:
a) Vista下开启UAC之后,会涉及到用户权限提升及虚拟化
b) Ie保护模式下,其完整性级别为低,而其他ie核心的浏览器启动时,完整性级别为高,cookie目录的完整性级别为低
测试影响因素:
a) 开启UAC,administrator,自建管理员,标准用户(提升/不提升权限)
b) Ie开启保护模式和关闭保护模式
c) 其他IE核心浏览器
d)Internet选项隐私等级设置
e)Cookie完整性级别高于应用程序完整性级别
3. 应用程序写Cookie方式
说明:
a) 通常情况下,写cookie不能跨域,例如当前页面是s.sohu.com域下,种cookie的js在v.sohu.com上,那么这时候通常不会写不成功的
b) 如果需要跨域写cookie,那么需要用到Crossdomain.Xml,简单来说这文件是一份白名单,指定的站点是能与该站点进行跨域数据传输的
测试影响因素:
a) 种cookie的文件与当前页面属于不同域
4.Cookie内容及安全性
说明:
a) 通常情况下cookie文件中的信息,会交由其他应用程序进行处理(通常情况下是ie在进行浏览的时候读取这些信息,也有另外的应用程序会对这些cookie信息进行分析然后用于自己的特定用途)
测试影响因素:
a) 需求实现的检验
b) 破坏各行数据进行容错性测试
c) 修改服务器时间使过期
d) 修改特定行key所对应的value为js或者正则或者sql语句,检验基本的安全性
5.Cookie的冲突
说明:
a) 因为cookie是需要操作本地磁盘文件的,因而需要考虑杀毒软件及安全监控软件
测试影响因素:
a) 写cookie过程中各类安全监控软件是否提示
b) 写cookie后使用各种杀毒软件扫描是否提示异常
转载:http://www.cnblogs.com/oscarxie/archive/2007/08/28/872610.html