Cookies中Secure使用

一、        各浏览器中cookie个数和大小限制汇总

      A)浏览器允许每个域名所包含的cookie数：

IE6 每个域名cookie限制为20个

IE7+ 每个域名cookie限制为50个

Firefox每个域名cookie限制为50个

Opera每个域名cookie限制为30个

Safari/WebKit没有cookie限制。Cookie过多，会导致header大小超过服务器的处理的限制，会导致错误发生。

Chrome每个域名cookie限制为53个

注：介于平台需要下兼容，麦网平台使用Cookie数应<20

B)不同浏览器间cookie总大小也不同：

IE6+ 每个cookie 总大小4094字节

Firefox每个cookie 总大小4097字节

Opera每个cookie 总大小4096字节

Safari/WebKit每个cookie 总大小4097字节

Chrome每个cookie 总大小4097字节

              注：多字节字符计算为两个字节。在所有浏览器中，任何cookie大小超过限制都被忽略，且永远不会被设置。



二、        Cookies使用规范

l  作用域策略(Domain)

Cookies作用域，根据实际设计中的需求来定义，注意同Path（即路径）的结合使用，遵循以下原则：

u  系统中任何时候定义的Cookie，一定要指定作用域，即指作用的域名，如：passport.m18.com。

u  如果Cookie要在主站(Domain)与子站(Subdomains)间使用，要指定作用域名为主站，如：m18.com，同时指定Path为”/”

l  路径策略(Path)

Path默认值为”/”，表示该Cookie在整个站点内有效。除定义的Cookie要在全站作用页面使用的情况外，其他定义的Cookie要指定其Path属性，遵循作用域最小原则，如：定义Cookie的Path值为”/Shoes”,表示该Cookie在Shoes目录下的所有页面会向服务回复该Cookie信息(指定Secure为Ture的情况例外)。（注：Path指定了Cookie向服务回发数据的范围）

l  过期策略(Expires)

系统中在使用Cookie时，一定要指定过期时间，敏感信息不宜保存过长时间，建议设置为当前浏览器进程有效。

l  安全策略(Secure)

对于敏感信息，原则上不建议保存在Cookie中，如果因为设计需要，务必建立服务器端的加密，如：DES，AES。

注：secure值为true时，在http模式中不会向服务回发Cookie的验证信息；在https模式中会认为是安全的，会回发数据。

l  工具介绍

FireFox：View Cookies，一款插件。View Cookies可以清楚地看到Cookies在站点内的使用情况，包括：名称、值、域、路径、过期时间、安全策略。

IE：IECookiesView，利用它可以搜寻并显示出计算机中所有的Cookies档案的数据，包括是哪一个网站写入Cookies的内容有什么？写入的时间日期及此Cookies的有效期限等。