引言：人們在上網(wǎng)時，Cookies會記錄用戶的訪問時間、訪問頁面和每個瀏覽過的網(wǎng)頁駐留時間等，Cookies在提高用戶上網(wǎng)體驗和方便的同時，也存在安全隱患，極易泄露用戶的個人隱私，正確使用Cookies功能且確保Cookies安全，不泄露用戶個人上網(wǎng)信息就顯得尤為重要。

現(xiàn)在上網(wǎng)很多網(wǎng)站都需要用戶注冊，不然很多需要權(quán)限的資源就無法訪問，在注冊成功并登錄后，在一定的時間內(nèi)，用戶無需重新登錄仍可訪問相應(yīng)權(quán)限的資源，這些網(wǎng)站會自動識別和記錄用戶信息，實現(xiàn)這個功能的就是 Cookies，Cookies會記錄用戶的訪問時間、訪問頁面和每個瀏覽過的網(wǎng)頁駐留時間等信息，這些網(wǎng)站會根據(jù)用戶的瀏覽資源提供相應(yīng)的個性化服務(wù)，例如會自動推薦一些相關(guān)聯(lián)的資源等，還會根據(jù)用戶瀏覽的習(xí)慣和各類統(tǒng)計信息來完善網(wǎng)站功能等，但Cookies在提高用戶上網(wǎng)體驗和方便的同時，也存在一定的安全隱患，極易泄露用戶的個人隱私，正確使用Cookies功能且確保Cookies安全，不泄露用戶個人信息就顯得尤為重要。

Cookies及其功能

圖1 使用IE瀏覽器查看Cookies信息

Cookies是存儲在用戶計算機內(nèi)，記錄用戶瀏覽相關(guān)網(wǎng)站用戶信息的文本文件，是一種保持Web應(yīng)用程序執(zhí)行狀態(tài)的技術(shù)手段，其目的是為了幫助相關(guān)網(wǎng)站記住用戶信息狀態(tài)。

用戶使用不同的瀏覽器訪問網(wǎng)站時，Cookies會存儲在相應(yīng)瀏覽器的文件夾內(nèi)，同時，會以用戶訪問網(wǎng)站的域名為名稱生成相應(yīng)的文件夾?？梢詫ookies看作成不同的“倉庫”，“倉庫”內(nèi)有很多的“房間”，這些“房間”內(nèi)存放的是就是用戶信息，“倉庫”因用戶使用瀏覽器的不同，其“物理位置”也會不同，“倉 庫”內(nèi)“房間”的名稱就是用戶瀏覽相應(yīng)網(wǎng)站的域名。用戶在瀏覽相應(yīng)網(wǎng)站時，網(wǎng)站服務(wù)器不僅會反饋給用戶相應(yīng)瀏覽網(wǎng)頁，也會根據(jù)用戶相關(guān)信息反饋一個包含有時間、日期等相應(yīng)信息的Cookies，并將之存儲在用戶的硬盤上，Cookies信息會在網(wǎng)站服務(wù)器和用戶瀏覽器之間進行傳遞，不同瀏覽器和不同網(wǎng)站之間的Cookies不會彼此覆蓋。之后，當(dāng)該用戶再次訪問網(wǎng)站時，瀏覽器會在用戶硬盤Cookies文件夾內(nèi)查找與該網(wǎng)站相關(guān)聯(lián)的Cookies，如果該Cookies存在，那么瀏覽器便會將該Cookies和網(wǎng)頁請求一起發(fā)送到網(wǎng)站，如圖1所示，為使用IE瀏覽器查看Cookies信息的方法。當(dāng)然，并不是所有的瀏覽器都將Cookies信息放在文本文件中，比如有的瀏覽器則是將Cookies信息存儲在注冊表中。

Cookies的主要安全隱患

Cookies有許多安全隱患，其中極易造成用戶信息丟失的安全隱患主要有3點：

一是Cookies本身容量不足而易溢出。目前大多數(shù)瀏覽器最大僅支持4096字節(jié)的Cookies，同時還限制了存儲的Cookies數(shù)量，如果要存儲更多數(shù)量的Cookies，較早的Cookies便會被丟棄，所以當(dāng)在使用Cookies時，特別是用戶訪問網(wǎng)站數(shù)量較多的時候，非常容易丟失關(guān)鍵網(wǎng)站的Cookies。

二是易遭受XSS攻擊。XSS攻擊為跨站腳本攻擊，經(jīng)常用來攻擊存在XSS漏洞的用戶和服務(wù)器，它允許惡意Web用戶將代碼植入到提供給其它用戶使用的頁面中，即攻擊者可以把自己的代碼越過安全邊界線注射到另一個不同的、有漏洞的Web站點中，當(dāng)這些注入的代碼作為目標(biāo)站點的代碼在受害者的瀏覽器中執(zhí)行時，攻擊者就能竊取如用戶網(wǎng)銀、各類管理員帳號等各類敏感信息，可以讀取、篡改、添加、刪除企業(yè)敏感信息和釣魚欺騙用戶、在網(wǎng)站上掛木馬等，其攻擊過程如圖2所示。

圖2 XSS攻擊過程

圖3 清理Cookies方法

三是Cookies不能即時清除問題。因為Cookies有一定的生存周期，當(dāng)用戶A在使用自己的帳號上網(wǎng)后，有些信息還會駐留在計算機內(nèi)，當(dāng)后面的用戶上網(wǎng)時，就會使用用戶A的信息上網(wǎng)，這樣就會出現(xiàn)用戶A的信息被后面的用戶冒用的現(xiàn)象，甚至做一些非法的操作等，特別是在網(wǎng)吧等公共場所上網(wǎng)或一機多用戶操作時，就會給某些用戶造成一定的個人信息泄露的損失，這也是Cookies的一個弊病，即在退出瀏覽器后，很多Cookies的信息不會被即時清除。

確保Cookies安全措施

一是做好XSS漏洞防御?，F(xiàn)在XSS漏洞已經(jīng)很少，用戶需要及時升級自己上網(wǎng)所使用的瀏覽器版本，較舊版本的瀏覽器還不能很好地防御XSS漏洞。此外，XSS漏洞是利用了Web頁面的編寫不完善來進行攻擊的，用戶可以使用安全軟件對包括URL、查詢關(guān)鍵字、HTTP頭、POST數(shù)據(jù)等在內(nèi)的提交信息進行可靠的輸入驗證，僅接受指定長度范圍內(nèi)、采用適當(dāng)格式、采用所預(yù)期的字符的內(nèi)容提交，對其他的一律過濾，對包括Session標(biāo)記或者HTTP引用頭進行檢查，以防Cookies被第三方網(wǎng)站所執(zhí)行等。

二是定期清理Cookies。清理Cookies不僅可以清理系統(tǒng)上網(wǎng)垃圾，提高系統(tǒng)運行速度，還可以保證用戶的上網(wǎng)信息不被泄露，用戶必要養(yǎng)成定期清理Cookies的習(xí)慣，可以手動清除，也可以選擇工具軟件進行清除，清理Cookies雖然不能百分百的解決安全隱患，但可有效預(yù)防Cookies可能造成的安全隱患。當(dāng)Cookies是在文件夾時，以IE瀏覽器為例，清除Cookies的方法如圖3所示。也可以使用圖1的方法，找到各Cookies文件，將其刪除。

對 于Cookies在注冊表中的清除方法如下（如 圖 4所 示）：在Windows操作系統(tǒng)中運行“Regedit”，找到如下鍵 值：HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/InternetSettings/Cache/SpecialPaths/Cookies，這是Cookies存留在內(nèi)存中的鍵值，只要把這個鍵值刪除即可。

三是必要時可以禁用Cookies或提高Cookies的安全級別。通過禁用Cookies、開啟 Cookies安全警告或每次訪問后刪除與操作相關(guān)的Cookies方式防范跟蹤Cookies，這里以IE瀏覽器為例，禁用Cookies方法和提高Cookies的安全級別如下（如圖5所示）：打開“工 具 /Internet選 項”中的“隱私”選項卡，調(diào)整Cookies的安全級別。通常情況，可以調(diào)整到“中高”或者“高”的位置即可，也可以將安全級調(diào)到“阻止所有Cookies”。如果只是為了禁止個別網(wǎng)站的Cookies，可以單擊“編輯”按鈕，將要屏蔽的網(wǎng)站添加到列表中。在“高級”按鈕選項中，可以對第一方Cookies和第三方的Cookies進行設(shè)置，第一方Cookies是用戶瀏覽網(wǎng)站的Cookies，第三方 Cookies是非正在瀏覽的網(wǎng)站發(fā)給用戶的Cookies，通常要對第三方Cookies選擇“拒絕”，目前主流的瀏覽器都有禁止第三方Cookies的功能。若沒有此項功能的瀏覽器，用戶可以通過安全防護軟件來防范跟蹤Cookies。這里需要說明的是，禁止Cookies或提高Cookies安全級別雖然可以增強用戶上網(wǎng)的安全級別，但也有可能會造成一些弊端或降低用戶的上網(wǎng)體驗，比如在一些需要Cookies支持的網(wǎng)站里，會發(fā)生一些莫名其妙的錯誤，如無法打開部分文件或不能使用包括免費電子郵件在內(nèi)的某些網(wǎng)站功能等，所以筆者建議用戶可以對上網(wǎng)的部分安全網(wǎng)站進行篩選。

圖4 在注冊表中清除Cookies方法

圖5 禁用和提高Cookies方法

四是養(yǎng)成一個良好的上網(wǎng)習(xí)慣。不要在一些來源不明的網(wǎng)頁上填寫任何有關(guān)個人的隱私信息，特別是一些重要和敏感的信息，以免泄漏用戶個人信息從而造成一些不必要的損失。例如在打開一些網(wǎng)站時，可以通過網(wǎng)站的信息來查看網(wǎng)站是否合法，合法的網(wǎng)站其安全性一般都值得信任和有保證的。一般合法的網(wǎng)站在網(wǎng)站的最下方有類似“京ICP證032616號”的網(wǎng)站信息，然后在搜索網(wǎng)站中搜索關(guān)于“國家工信部網(wǎng)站備案查詢”，找到“工信部”主頁，在主頁中找到公共查詢的入口，可在其中查詢用戶上網(wǎng)的網(wǎng)站是否合法。