HTTP Cookie深入理解

HTTP Cookie 概述:
Cookie通常也叫做网站cookie,浏览器cookie或者http cookie,是保存在用户浏览器端的，并在发出http请求时会默认携带的一段文本片段。它可以用来做用户认证，服务器校验等通过文本数据可以处理的问题。

Cookie的类别（重要）：
a.Session Cookie
这个类型的cookie只在会话期间内有效，即当关闭浏览器的时候，它会被浏览器删除。设置session cookie的办法是：在创建cookie不设置Expires即可。
c.Secure cookie
安全cookie是在https访问下的cookie形态，以确保cookie在从客户端传递到Server的过程中始终加密的。这样做大大的降低的cookie内容直接暴露在黑客面前及被盗取的概率。
d.HttpOnly Cookie
目前主流的浏览器已经都支持了httponly cookie。1.IE5+ 2.Firefox 1.0+ 3.Opera 8.0+ 4.Safari/Chrome。在支持httponly的浏览器上，设置成httponly的cookie只能在http(https)请求上传递。也就是说httponly cookie对客户端脚本语言(javascript)无效，从而避免了跨站攻击时JS偷取cookie的情况。当你使用javascript在设置同样名字的cookie时，只有原来的httponly值会传送到服务器。
(js无法访问（修改）的cookie)

Cookie用途：
a.会话管理
1.记录用户的登录状态是cookie最常用的用途。通常web服务器会在用户登录成功后下发一个签名来标记session的有效性，这样免去了用户多次认证和登录网站。
2.记录用户的访问状态，例如导航啊，用户的注册流程啊。
b.个性化信息

Cookie的实现（header头举例）：
Cookie是web server下发给浏览器的任意的一段文本，在后续的http请求中，浏览器会将cookie带回给Web Server。同时在浏览器允许脚本执行的情况下，Cookie是可以被JavaScript等脚本设置的。

Step1. 客户端请求服务器
Step2. 服务器返回http response,其中可以包含Cookie设置

HTTP/1.1 200 OK
Content-type: text/html
Set-Cookie: name=value
Set-Cookie: name2=value2; Expires=Wed, 09 Jun 2021 10:18:14 GMT
(content of page)

Step3. 后续访问相关页面

GET /spec.html HTTP/1.1
Host: www.webryan.net
Cookie: name=value; name2=value2
Accept: */*

需要修改cookie的值的话，只需要Set-Cookie: name=newvalue即可，浏览器会用新的值将旧的替换掉。
C) Secure and HttpOnly
作用：设置Cookie的安全属性
特质：Secure和HttpOnly都是没有value字段的。
Secure字段告诉浏览器在https通道时，对Cookie进行安全加密，这样即时有黑客监听也无法获取cookie内容。
HttpOnly字段告诉浏览器，只有在HTTP协议下使用，对浏览器的脚本不可见，所以跨站脚本攻击时也不会被窃取。
浏览器相关
不同浏览器支持的个数和大小也不一样

PHP相关：
http://www.cnblogs.com/aleaf/archive/2009/06/07/1498038.html
cookie 必须在脚本的任何其它输出之前发送（这是协议限制）。这需要将本函数的调用放到任何输出之前，包括 <html> 和 <head> 标签以及任何空格。如果在调用 setcookie() 之前有任何输出，本函数将失败并返回 FALSE。如果 setcookie() 函数成功运行，将返回 TRUE。这并不说明用户是否接受了 cookie。

example：
setcookie('auth_id', $this->newAuthId, time() + 86400 * 100000, '/', 'dianhua.cn', true, false);

常见缺陷：
Cookies 不会在设置它的本页生效，要测试一个 cookie 是否被成功的设定，可以在其到期之前通过另外一个页面来访问其值。过期时间是通过参数 expire 来设置的。可以简单地使用 print_r($_COOKIE); 来调试现有的 cookies。
Cookie 必须用和设定时的同样的参数才能删除。如果其值一个空字符串，或者是 FALSE，并且其它的参数都和前一次调用 setcookie 时相同，那么所指定名称的 cookie 将会在远程客户端被删除。
由于把 cookie 的值设为 FALSE 会使客户端尝试删除这个 cookie，所以要在 cookie 上保存 TRUE 或 FALSE 时不应该直接使用 boolean 值，而应该用 0 来表示 FALSE，用 1 来表示 TRUE
可以把 cookie 的名称设置成一个数组，但是数组 cookie 中的每个元素的值将会被单独保存在用户的系统中。考虑使用 explode() 函数用多个名称和值设定一个 cookie。不推荐将 serialize() 用于此目的，因为它可能会导致一个安全漏洞。

注意 cookie 中值的部分在发送的时候会被自动用 urlencode 编码并在接收到的时候被自动解码并把值赋给与自己同名的 cookie 变量。
要删除 cookie 需要确保它的失效期是在过去，才能触发浏览器的删除机制。下面的例子说明了如何删除刚才设置的 cookie：
// 将过期时间设为一小时前
setcookie("TestCookie", "", time() - 3600);

关于输出缓冲区：
http://www.jb51.net/article/43009.htm

Example 1.
程序代码
复制代码 代码如下:

<?php
ob_start(); //打开缓冲区
echo \"Hellon\"; //输出
header("location:index.php"); //把浏览器重定向到index.php
ob_end_flush();//输出全部内容到浏览器
?>

所有对header()函数有了解的人都知道，这个函数会发送一段文件头给浏览器，但是如果在使用这个函数之前已经有了任何输出（包括空输出，比如空格，回车和换行）就会提示出错。如果我们去掉第一行的ob_start()，再执行此程序，我们会发现得到了一条错误提示："Header had all ready send by"！但是加上ob_start，就不会提示出错，原因是当打开了缓冲区，echo后面的字符不会输出到浏览器，而是保留在服务器，直到你使用 flush或者ob_end_flush才会输出，所以并不会有任何文件头输出的错误！