什么是 Cookie？

Cookie 是您訪問過的網(wǎng)站創(chuàng)建的文件，用于存儲(chǔ)瀏覽信息，例如您的網(wǎng)站偏好設(shè)置或個(gè)人資料信息。共有兩種類型的 Cookie：第一方 Cookie 是由地址欄中列出的網(wǎng)站域設(shè)置的 Cookie，而第三方 Cookie 來自在網(wǎng)頁上嵌入廣告或圖片等項(xiàng)的其他域來源。

Cookie可以用來提升用戶體驗(yàn)，比如網(wǎng)站可以使用Cookie來記錄用戶的登錄狀態(tài)，用戶只要登錄一次就可以不用登錄了，購物網(wǎng)站通過Cookie來保存購物車中的商品等。同時(shí)很多的網(wǎng)站分析都是依靠Cookie來完成的。

以網(wǎng)站統(tǒng)計(jì)為例，目前主要的統(tǒng)計(jì)方式是日志記錄法和頁面標(biāo)記法。一般日志記錄法細(xì)化到IP，而頁面標(biāo)記法細(xì)化到Unique  Visitor。UV并不僅僅是一個(gè)指標(biāo)，更重要的是的它可以把一個(gè)用戶多次訪問的事件聯(lián)系在一起。包括用戶第一次從哪里來，第二次從哪里來，在網(wǎng)站上的瀏覽軌跡等都可以查詢出來。

Cookie是如何工作的？

一般來說，Cookie通過HTTP Headers從服務(wù)器端返回到瀏覽器上。首先，服務(wù)器端在響應(yīng)中利用Set-Cookie header來創(chuàng)建一個(gè)Cookie ，然后，瀏覽器在它的請(qǐng)求中通過Cookie header包含這個(gè)已經(jīng)創(chuàng)建的Cookie，并且反它返回至服務(wù)器，從而完成瀏覽器的論證。

比如，我們?cè)L問一個(gè)網(wǎng)站，來到了登錄的頁面。頁面需要我們輸入用戶名和密碼，同時(shí)下面有一個(gè)選項(xiàng)，叫“保留我的登錄狀態(tài)”，如果輸入了用戶名，密碼。為了下次在來這個(gè)網(wǎng)站，不用再重新輸入，我們激活了保留狀態(tài)的選項(xiàng)。最后點(diǎn)了提交。這時(shí)，我們的瀏覽器就會(huì)和網(wǎng)站服務(wù)器之間通過HTTP協(xié)議進(jìn)行連接，提交剛才輸入的內(nèi)容和選擇。服務(wù)器收到以后，會(huì)判斷這個(gè)用戶名密碼是否正確，因?yàn)槲覀冃枰Ａ魻顟B(tài)，就需要設(shè)置Cookie來記錄狀態(tài)。那服務(wù)器會(huì)在返回的HTTP數(shù)據(jù)包的頭部包含SetCookie這個(gè)指令來告訴瀏覽器要保存的Cookie。瀏覽器收到以后會(huì)把這個(gè)Cookie加密存儲(chǔ)到電腦上。這個(gè)Cookie記錄的一般是用戶在這個(gè)網(wǎng)站的唯一的ID。之后，只要每次訪問這個(gè)網(wǎng)站（只要還是這個(gè)域名），我們的瀏覽器在請(qǐng)求這個(gè)網(wǎng)站服務(wù)器數(shù)據(jù)的時(shí) 候，都會(huì)在HTTP請(qǐng)求數(shù)據(jù)包的頭部增加一條包含Cookie數(shù)據(jù)的信息，比如這里會(huì)告訴服務(wù)器：“我是你的用戶，我的ID是9527。”那服務(wù)器收到這 個(gè)信息，就不會(huì)再提示登錄，而我們就已經(jīng)是登錄的狀態(tài)了。

第一方Cookie和第三方Cookie

Cookie通常可以分為兩類，第一方Cookie和第三方Cookie，第一方Cookie和第三方Cookie，都是網(wǎng)站在客戶端上存放的一小塊數(shù)據(jù)。他們都由某個(gè)域存放，只能被這個(gè)域訪問。他們的區(qū)別其實(shí)并不是技術(shù) 上的區(qū)別，而是使用方式上的區(qū)別。比如，訪問www.a.com這個(gè)網(wǎng)站，這個(gè)網(wǎng)站設(shè)置了一個(gè)Cookie，這個(gè)Cookie也只能被www.a.com 這個(gè)域下的網(wǎng)頁讀取，這就是第一方Cookie。如果還是訪問www.a.com這個(gè)網(wǎng)站，網(wǎng)頁里有用到www.b.com網(wǎng)站的一張圖片，瀏覽器在 www.b.com請(qǐng)求圖片的時(shí)候，www.b.com設(shè)置了一個(gè)Cookie，那這個(gè)Cookie只能被www.b.com這個(gè)域訪問，反而不能被 www.a.com這個(gè)域訪問，因?yàn)閷?duì)我們來說，我們實(shí)際是在訪問www.a.com這個(gè)網(wǎng)站被設(shè)置了一個(gè)www.b.com這個(gè)域下的Cookie，所以叫第三方Cookie。

第一方Cookie的優(yōu)勢(shì)和應(yīng)用

第一方Cookie的最大優(yōu)勢(shì)是接受率高。一般主流的瀏覽器的都會(huì)有隱私的設(shè)置，可以讓用戶設(shè)置是否接受Cookie，接受哪些Cookie。除了 完全不接受Cookie這個(gè)設(shè)置以外，其他情況下，第一方Cookie都是會(huì)被用戶接受的（不接受的話，是沒辦法把那小塊數(shù)據(jù)保存下來的）。所以，如果沒有特殊要求，使用第一方Cookie會(huì)比第三方Cookie，我們通過分析工具得到的數(shù)據(jù)會(huì)更準(zhǔn)確。

第三方Cookie的優(yōu)勢(shì)和應(yīng)用

第三方Cookie的接受率不如第一方Cookie（不過主流的瀏覽器默認(rèn)的設(shè)置下也接受帶P3P協(xié)議的第三方Cookie，我的經(jīng)驗(yàn)是接受率能達(dá) 到90％，甚至95％以上），但在某些特定情況下可以實(shí)現(xiàn)第一方Cookie無法實(shí)現(xiàn)的功能。比如，當(dāng)我們有多個(gè)域名的網(wǎng)站需要跟蹤，我們希望了解到用戶點(diǎn)擊某個(gè)廣告到達(dá)域名A下的網(wǎng)頁，然后可能瀏覽了不論那個(gè)域名下的頁面，最后在域名B下的網(wǎng)頁完成注冊(cè)的情況。廣告可以在域名A下的網(wǎng)頁被跟蹤到，而注冊(cè)可以在域名B下的網(wǎng)頁跟蹤到。如果我們使用第一方Cookie，會(huì)為域名A建立一個(gè)Cookie，為域名B再建立一個(gè)Cookie，他們可以關(guān)聯(lián)各自域名下網(wǎng)頁上的行為，但是無法關(guān)聯(lián)起來。而使用第三方Cookie，那么無論多少個(gè)域，都只有一個(gè)Cookie，一個(gè)屬于第三方域的Cookie，網(wǎng)站下所有域都能共享這個(gè)Cookie，那么所有的行為都能被關(guān)聯(lián)起來分析。

結(jié)論：對(duì)于通過腳本型的網(wǎng)站分析工具來獲取數(shù)據(jù)

• Cookie是必須的，離開Cookie我們什么也分析不了。
• 第一方Cookie接受率高，更準(zhǔn)確，沒有特殊需要就用他。
• 第三方Cookie可以跨域跟蹤，特別需求可以應(yīng)用。

P3P解決第三方cookie存取的問題

P3P（Platform for Privacy Preferences）是由萬維網(wǎng)協(xié)會(huì)研制，它為Web用戶提供了對(duì)自己公開信息的更多的控制。支持P3P的Web站點(diǎn)可以為瀏覽者聲明他們的隱私策略。支持P3P的瀏覽器則可以將Web站點(diǎn)的策略與用戶的隱私偏好進(jìn)行對(duì)比，并為用戶提出不匹配的警告。因此，用戶可以被通知有關(guān)Web隱私的處理方式。更詳細(xì)的說明請(qǐng)看http://www.w3.org/P3P/的介紹。

以上幾乎都是廢話，我自己的理解就是通過P3P 可以使 用戶自己指定瀏覽器的隱私策略。而這里只用到了關(guān)于cookie的一些設(shè)置。
我們打開ie瀏覽器–>工具–>internet選項(xiàng)–>隱私分頁 用戶可以通過手工 “導(dǎo)入” 用戶隱私策略文件

PHP使用P3P來跨域跟蹤的示例

首先修改Windows文件，將要測(cè)試的兩個(gè)域名進(jìn)行指向。

• 127.0.0.1        www.a.com
• 127.0.0.1        www.b.com

第一步：創(chuàng)建 a_setcookie.php 文件，內(nèi)容如下：

 //header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"'); setcookie("test", $_GET['id'], time()+3600, "/", ".a.com"); ?>

第二部：創(chuàng)建 a_getcookie.php 文件，內(nèi)容如下：

 var_dump($_COOKIE); ?>

第三部：創(chuàng)建 b_setcookie.php 文件，內(nèi)容如下：

三個(gè)文件創(chuàng)建完畢后，我們通過瀏覽器依次訪問：

• http://www.b.com/b_setcookie.php
• http://www.a.com/a_getcookie.php

我們會(huì)發(fā)現(xiàn)，在訪問b.com域的時(shí)候，我們并沒有在a.com域設(shè)置上cookie值。

然后我們修改一下a_setcookie.php文件，去掉注釋符號(hào)，a_setcookie.php即為：

   header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"');   setcookie("test", $_GET['id'], time()+3600, "/", ".a.com");   ?>

再次通過瀏覽器依次訪問：

• http://www.b.com/b_setcookie.php
• http://www.a.com/a_getcookie.php

這次，你會(huì)發(fā)現(xiàn)在訪問b.com域的時(shí)候，我們?cè)O(shè)置了a.com域的cookie值。

其他Cookie相關(guān)知識(shí)

• cookies是暫存在電腦里的.txt格式的文本文件。
• 一臺(tái)電腦的所有用戶，用記事本都可以看到暫存的Cookie。
• 只有訪問的站點(diǎn)能夠建立獲取first-party cookies。
• 訪問的站點(diǎn)可以允許其他域名瀏覽cookie信息。
• 電腦內(nèi)的信息不會(huì)因?yàn)閏ookies受任何影響，你可以隨時(shí)手動(dòng)刪除。
• cookies文件大小限制為4k。
• 各瀏覽器對(duì)cookie的限制不同，IE8和Firefox為50個(gè)，Opera為30個(gè)。

參考資料

• HTTP cookie-Wikipedia
• How Internet Cookies Work-howstuffworks
• Cookie FAQ-cookiecentral