javascript - cookie 的设置值 - 名称中的冒号

Question

我对通过 javascript 设置 cookie 值不太熟悉，而且我对两者的了解都很基础 - 尽管我对调整 JQuery 很满意。

总之，我正在开发一个必须依法显示 cookie 政策的网站。

我们有一个第三方解决方案，会弹出一个 jquery 控制的 div 容器，其中包含一条消息和几个按钮:“稍后提醒我”和“设置”。如果用户单击设置，他们可以“保存并关闭”或更改安全级别，弹出窗口将消失。

我们调整了这个第三方解决方案，并添加了一个“接受”按钮，用户可以通过该按钮确认“默认”cookie 设置并继续使用该网站。

到目前为止一切顺利!

我们知道这个第三方解决方案正在写入具有以下基本值的 cookie:

Cookie 名称:wsjnudge_javascript:jQuery_ws.jpecrJs.display(jQuery.ws.jpecrJs())_= true;

如果该值设置为true，则在 Cookie 过期之前，不会再次显示提示更改 Cookie 设置的弹出消息。

问题是 cookie 名称中有一个冒号 (:)，当我们通过 javacript 解析 cookiename 时，它​​会创建一个名称为:的 cookie

wsjnudge_javascript%253AjQuery_ws.jpecrJs.display(jQuery.ws.jpecrJs())_

因此冒号 (:) 被替换为 %253A

我们编写了一些 Jquery/javascript 代码来设置此 cookie 的值并尝试对冒号进行编码:

首先设置一个变量:

var acceptCookieEncode = encodeURIComponent
 ("wsjnudge_javascript:jQuery_ws.jpecrJs.display(jQuery.ws.jpecrJs())_");

然后通过单击函数写入 cookie 并关闭弹出窗口:

jQuery(document).on('click','.continue',function(){

jQuery.cookie( acceptCookieEncode, 'true', { expires: 365 });
jQuery('#wsjnudge').remove();

所以，总而言之，关闭函数正在工作，但由于冒号，cookie 名称不正确，因此实际上我们正在创建错误的 cookie 名称并将值设置为错误的 cookie 名称。

我知道我可能必须使用 base64，但我完全不知道如何实现它，而且显然我没有正确使用 encodeURIcomponent 来正确解析 URI。

如果此消息的格式不正确，我深表歉意。第一次发帖，但 StackOverflow 的普通用户，提前感谢您的帮助。

丹。

Answer 1

Cookie 没有标准的转义机制。 ;例如，字符根本不能在 cookie 中使用；与 URL 编码或 HTML 编码不同，没有任何方案允许直接从 cookie 获取的字符来表示分号。

所以人们倾向于做的是临时编码 - 他们用某种任意形式的编码对 cookie 进行编码，并在将其拉回后再次对其进行解码。 URL 编码，这就是 encodeURIComponent()确实如此，是最流行的临时编码方法，但仍然不是您可以期望工具无条件使用的一种方法。

jQuery cookie插件采用这种编码形式，调用encodeURIComponent()为您提供有关 cookie 名称和值的信息。因此，如果您传递名称 wsjnudge_javascript:jQuery...您要设置的 cookie 的真实名称为 wsjnudge_javascript%3AjQuery 。当您调用encodeURIComponent()时除此之外，如示例代码所示，您将得到的输出是双重编码的: wsjnudge_javascript%253AjQuery... .

想必这些名称对您正在使用的第三方代码没有任何用处，该代码可能正在寻找真实名称 wsjnudge_javascript:jQuery... 的 cookie 。您无法使用 jQuery cookie 插件设置此 cookie，因为它内置非 cookie 标准 URL 编码。您可以直接在 JavaScript 中设置它，例如:

document.cookie= 'wsjnudge_javascript:jQuery_ws.jpecrJs.display(jQuery.ws.jpecrJs())_= true';

无论哪种方式，请注意您可能需要添加一些参数以匹配第三方代码正在使用的任何内容 - 如果 path和domain参数不匹配，那么您最终可能会得到同一个 cookie 的两个副本。

理论上，根据RFC 6265这是我们拥有的最接近 cookie 标准的东西，不应该允许在 cookie 名称中包含冒号而不用双引号将名称引起来。然而，在实践中，浏览器(我已经测试过)确实允许这样做，并且不会将双引号视为特殊的东西 - 因此在这种情况下真正的 cookie 名称最终将包含双引号，而双引号将无法被识别第三方脚本。

因此，在 cookie 名称中放入冒号有些不可取，但这可能是第三方脚本的一部分，因此您必须坚持使用它。一般来说，cookie 名称非常奇怪，我担心它似乎包含可执行的 JavaScript 代码。

如果没有第三方源代码，我无法判断这是否真的发生了，但如果第三方脚本确实从 cookie 名称中提取了 JavaScript 代码并使用 eval() 执行它，那真是个坏主意。除了严重的丑陋之外，它还允许任何可以将 cookie 注入(inject)您的域(例如，从易受攻击的相关域)的人将 cookie 注入(inject)升级为成熟的跨站点脚本漏洞。

您是否担心此类攻击取决于您的网站的用途以及它拥有哪些用户数据/交互。就我个人而言，我对在我的一个网站上这样做感到不舒服......