使用 Cookie 時要注意哪些安全事項

使用Cookie時要注意以下安全事項：

• Set-Cookie可以多次使用，并且可以放置更多的Key-Value數據，其中的每一個Key-Value數據項都是一個獨立的Cookie，服務器通常會傳送多個不同的Cookie到瀏覽器端，每個Cookie都對應特定的業務目標。

• Cookie的值雖然都是字符串，但可以很長，具體多長呢？RFC規范沒有給出具體的值，但一些測試表明，絕大多數瀏覽器都支持4096個字節長度的Cookie的內容。

• Cookies的內容是需要被保存在瀏覽器中的，通常瀏覽器會用本地文件保存這些Cookie的內容。同時，服務器端需要提供Session對象，因此用戶的狀態是由瀏覽器與服務器雙方配合實現的，任何一方的缺失都會導致用戶狀態信息的缺失。

• 在Cookies中不要存儲用戶的敏感（機密）信息，特別注意不要存儲用戶的明文密碼，但可以考慮存儲某種安全加密的信息，并且定期自動更新，避免被盜用和破解。

• Cookie的脆弱性，Cookie中的內容大多數經過了編碼處理，因此在人們看來只是一些毫無意義的字母數字組合，一般只有服務器的CGI處理程序才知道它們的真正含義。通過一些軟件，如Cookie Pal軟件，可以查看到更多的信息，如Server、Expires、Name和Value等選項的內容。由于Cookie中包含了一些敏感信息，如用戶名、計算機名、使用的瀏覽器和曾經訪問的網站等，攻擊者可以利用它來進行竊密和欺騙攻擊。

回答所涉及的環境：聯想天逸510S、Windows 10。