跨站Cookie

实际上，Cookie中保存的用户名、密码等个人敏感信息通常经过加密，很难将其反向破解。但这并不意味着绝对安全，黑客可通过木马病毒盗取用户浏览器Cookie，直接通过偷取的Cookie骗取网站信任。可以看出，木马病毒入侵用户电脑是导致用户个人信息泄露的一大元凶。

 

 

自1993年Cookie诞生以来，其就拥有专属性原则，即A网站存放在Cookie中的用户信息，B网站是没有权限直接获取的。但是，一些第三方广告联盟的代码使用范围很广。这就造成用户在A网站搜索了一个关键字，用户继续访问B网站，由于B网站也使用了同一家的第三方广告代码，这个代码可以从Cookie中获取用户在A网站的搜索行为，进而展示更精准的推广广告。比如搜索“糖尿病”等关键词，再访问其联盟网站，页面会立刻出现糖尿病治疗广告。如果并未事先告之，经用户同意，此做法有对隐私构成侵犯的嫌疑。这个还处在灰色地带。

 

自1993年Cookie诞生以来，其就拥有专属性原则，即A网站存放在Cookie中的用户信息，B网站是没有权限直接获取的。但是，一些第三方广告联盟的代码使用范围很广。这就造成用户在A网站搜索了一个关键字，用户继续访问B网站，由于B网站也使用了同一家的第三方广告代码，这个代码可以从Cookie中获取用户在A网站的搜索行为，进而展示更精准的推广广告。比如搜索“糖尿病”等关键词，再访问其联盟网站，页面会立刻出现糖尿病治疗广告。如果并未事先告之，经用户同意，此做法有对隐私构成侵犯的嫌疑。这个还处在灰色地带。

 

自1993年Cookie诞生以来，其就拥有专属性原则，即A网站存放在Cookie中的用户信息，B网站是没有权限直接获取的。但是，一些第三方广告联盟的代码使用范围很广。这就造成用户在A网站搜索了一个关键字，用户继续访问B网站，由于B网站也使用了同一家的第三方广告代码，这个代码可以从Cookie中获取用户在A网站的搜索行为，进而展示更精准的推广广告。比如搜索“糖尿病”等关键词，再访问其联盟网站，页面会立刻出现糖尿病治疗广告。如果并未事先告之，经用户同意，此做法有对隐私构成侵犯的嫌疑。这个还处在灰色地带。

 

 

 

 

设置cookie的domain属性

设置cookie的domain属性

所谓的单一登录是指用户在一个站点如www.studyez.com登录后切换到另一个站点communty.studyez.com时也自动 被community的Server判断为已经登录，反过来，只要用户在community.studyez.com登出后，切换到 www.studyez.com时后www的Server也会判断到这一用户已经登出。

限制条件:
1.所有要求单点登录的站点间共享同一用户数据库，这点应该不需要任何解释的吧。

2. 要求所有站点在同一父域名之下。这里所说的单点登录是指在同一个域名下不同子域名之间的单点登录，直接的例子就是像这样的站点之间的跨站单点登 录： www.studyez.com, community.studyez.com, serach.studyez.com, mail.studyez.com, mms.studyez.com 等， 他们属于一个共同的父域名studyez.com, 之所以有这么多子域名，是因为有很多子系统的时候用不同的子域名对于开发、部署和管理都能方便很多， 而且对于用户访问量很大的站点，可能每个子域名都会有很多的服务器来伺服。这是比较符合目前很多站点的模式和需求的。

对于非同一父域名下的域名间跨站登录，最好的方式是采用Passport的原理来实现，具体实现可以参考Passport文档，因此不在本文讨论范围之内。

原理：

在不同的子域名之间实现单点登录的最佳途径是采用Cookie的Forms认证。他的原理简单的来说，就是让Forms Authentication生成的Cookie能够跨域名访问。

先谈一下Cookie的限制，对于一个任何Http Request来说，提交给Server端的时候，它能够安全访问的Cookie的域名必须在这个HTTP Reuqest的域名路径中。举例来说，发出一个http://communiy.corp.studyez.com/的 请求时，随着这个http request一块发送到server端的cookies会自动包括所有 以 community.corp.studyez.com, .corp.studyez.com, corp.studyez.com, .studyez.com, studyez.com 为域名的Cookies，这是由Cookie本身的规范所限制的，浏览器如果不是按照这个规范实现，那么就会存在严重安全漏洞，因为那样的话意味着任何一 个服务器都可以读到同一个用户访问别的网站时留下的Cookie。

根据上面所述Cookie的限制性，可以得出，对于前面 www.studyez.com, community.studyez.com等站点的例子来说，就是想办法如何让 Forms Authentication生成的Cookie的域名限定为.studyez.com或者studyez.com，而不是默认的 www.studyez.com 和 communty.studyez.com，这样就使得单一登录需求的实现成为可能。

今天先写这么多，接下来几天会继续写实现和局限性。

程序代码// 用户 Cookie 存储键
public const string CookieUser = "devin_cn_user";
// 用户Cookie名称键
public const string CookieUserName= "UserName";

/// <summary>
/// 设置用户 Cookie 信息
/// </summary>
/// <param name="UserName">用户名称</param>
/// <param name="CookieSave">Cookie有效时间选择值</param>
private void SetCookie(string UserName,int CookieSave)
{
//设置Cookie值
HttpCookie cookie = new HttpCookie(CookieUser);
//设置域Cookie
cookie.Domain = ".devin.cn";
//设置用户名称
cookie.Values.Add(CookieUserName, UserName);
//设置Cookie身份验证码
cookie.Values.Add(CookieUserCode, this.CookieCode().ToString());

//根据选择，设置Cookie有效时间
switch (CookieSave)
{
case 0:
cookie.Expires = DateTime.Now; //即时
break;
case 1:
cookie.Expires = DateTime.Now.AddDays(1); //一天
break;
case 2:
cookie.Expires = DateTime.Now.AddDays(7); //七天，一周
break;
case 3:
cookie.Expires = DateTime.Now.AddMonths(1); //一月
break;
case 4:
cookie.Expires = DateTime.Now.AddYears(1); //一年
break;
}

//在保存 Cookie 信息之前，删除原有Cookie信息以避免重复
HttpContext.Current.Response.Cookies.Remove(CookieUser);

//保存Cookie信息
HttpContext.Current.Response.SetCookie(cookie);

//登陆认证
FormsAuthentication.RedirectFromLoginPage(UserName,false); 
}

就是这一句吧
//设置域Cookie
cookie.Domain = ".devin.cn";

20.

今天研究一天发现cookie无法设置除当前域名或者其父域名之外的其他domain.

这个是浏览器出于对cookie的保护造成的，也就是cookie无法跨域设置。

21.

今天研究一天发现cookie无法设置除当前域名或者其父域名之外的其他domain.

这个是浏览器出于对cookie的保护造成的，也就是cookie无法跨域设置。

对于子域名也有如下规则，当前域名只能设置当前域名以及他的父域名，不能设置子域名

如在www.wo.cao.baidu.com  域名下只能设置 cao.baidu.com,baidu.com

不能设置 da.jia.wo.cao.baidu.com的cookie。

一篇文章还不错，摘录下来