ASP下Cookie操作的详细讲解
Cookie的核心机制
Cookie是服务器存储在客户端的小型文本数据,ASP通过Request.Cookies和Response.Cookies对象实现双向交互,其运作流程为:
- 服务器通过HTTP响应头
Set-Cookie发送数据 - 客户端在后续请求中通过
Cookie头自动回传 - 单条Cookie最大容量为4KB,域名下总数通常限50-150个
ASP Cookie核心操作详解
创建与修改
<%
' 设置基础Cookie
Response.Cookies("Username") = "Admin"
Response.Cookies("Username").Expires = DateAdd("d", 30, Now()) ' 30天有效期
' 创建字典Cookie
Response.Cookies("UserPreferences")("Language") = "zh-CN"
Response.Cookies("UserPreferences")("Theme") = "Dark"
Response.Cookies("UserPreferences").Expires = DateAdd("yyyy", 1, Now())
%>
安全属性设置
Response.Cookies("AuthToken").Secure = True ' 仅HTTPS传输
Response.Cookies("AuthToken").HttpOnly = True ' 禁止JS访问
Response.Cookies("AuthToken").Path = "/admin" ' 限制路径
数据读取技巧
<%
If Not Request.Cookies("VisitCount") Is Nothing Then
Dim visits
visits = CInt(Request.Cookies("VisitCount")) + 1
Response.Cookies("VisitCount") = visits
Else
Response.Cookies("VisitCount") = 1
End If
Response.Write("访问次数:" & visits)
%>
删除操作
' 设置过期时间为过去
Response.Cookies("TempData").Expires = DateAdd("d", -1, Now())
企业级安全加固方案
签名防篡改
Function SignCookie(val)
Dim secretKey
secretKey = "YourSecretKey123!" ' 应存储于服务器配置
SignCookie = val & "|" & MD5(val & secretKey)
End Function
Function VerifyCookie(signedVal)
Dim arr, val, hash
arr = Split(signedVal, "|")
If UBound(arr) = 1 Then
val = arr(0)
If MD5(val & secretKey) = arr(1) Then
VerifyCookie = val
End If
End If
VerifyCookie = ""
End Function
敏感数据保护原则
- 用户ID等敏感信息应使用服务端Session存储
- 身份验证令牌需设置
HttpOnly和Secure属性 - 重要数据采用AES加密:
EncryptString("Data", "密钥")
性能优化实践
域名分片策略
' 静态资源域名
Response.Cookies("CDN_ID").Domain = "static.yoursite.com"
' 主应用域名
Response.Cookies("SessionID").Domain = "app.yoursite.com"
精简Cookie方案
' 用短键名替代
Response.Cookies("lk") = "blue" ' 原键名:layout_skin
' 合并多个值
Response.Cookies("ui_pref") = "lang=zh|theme=dark|font=14px"
跨平台兼容处理
特殊字符编码
' 写入时编码
Response.Cookies("SearchQuery") = Server.URLEncode("价格>=100元")
' 读取时解码
Dim query
query = Server.URLDecode(Request.Cookies("SearchQuery"))
浏览器差异对策
' 解决IE的4096字节限制
If Len(cookieData) > 2000 Then
SplitToMultipleCookies(cookieData) ' 自定义分片函数
End If
实战场景案例
购物车持久化实现
<%
Sub SaveCartToCookie(cartItems)
Dim json, encryptedData
json = ConvertToJSON(cartItems) ' 自定义序列化
encryptedData = AES_Encrypt(json, encryptionKey)
Response.Cookies("CartData") = encryptedData
Response.Cookies("CartData").Expires = DateAdd("w", 2, Now())
End Sub
Function LoadCartFromCookie()
If Not Request.Cookies("CartData") Is Nothing Then
Dim decryptedData
decryptedData = AES_Decrypt(Request.Cookies("CartData"), encryptionKey)
LoadCartFromCookie = ParseJSON(decryptedData)
End If
End Function
%>
高级应用场景
-
跨子域单点登录(SSO)
Response.Cookies("AuthToken").Domain = ".company.com" -
地理定位缓存
Response.Cookies("GeoLocation") = GetUserLocation() ' 调用API获取 Response.Cookies("GeoLocation").Expires = DateAdd("h", 6, Now()) -
A/B测试分组标记
If Request.Cookies("ABGroup") = "" Then Response.Cookies("ABGroup") = ChooseRandomGroup() End If
关键提醒:ASP默认不启用HttpOnly属性,需显式设置,据OWASP报告,未设置HttpOnly的Cookie受XSS攻击风险提高83%。
您在项目中是否遇到过Cookie数据被篡改的情况?对于金融类应用,您认为Cookie中存储哪些数据是绝对不可接受的?欢迎分享您的安全实践!
原创文章,作者:世雄 - 原生数据库架构专家,如若转载,请注明出处:https://idctop.com/article/12719.html
