Web应用中的Cookie测试方法研究.docVIP

Web应用中的Cookie测试方法研究 　　摘 要：在Web应用程序中，Cookie应用十分广泛，且给用户带来了极大的便利，然而，由于Cookie中所包含信息的敏感性，极易被不法人员利用而造成巨大损失，因此，如何对Cookie进行有效的测试就成为用户上网安全的重要保障。本文对Cookie的概念、作用和调用过程进行了分析，并Cookie机制存在的问题进行了讨论，在此基础上提出了Cookie测试的概念，并对Cookie测试的测试点进行了分析，进而采用测试工具进行测试法、屏蔽测试法、有选择性拒绝测试法、篡改测试法实现了对Cookie的初步测试。测试结果表明，本文所提出的方法在实现Cookie测试方面具有较好的效果。 　　关键词：Cookie测试；测试点；Cookie测试方法 　　中图分类号：TP311.52 　　Cookie技术由网景公司（Netscape）员工Lou Montulli于1993年发明。随后World Wide Web（WWW）协会支持并采纳了Cookie标准，微软也在Internet Explorer浏览器中使用了Cookie。现在，绝大多数浏览器都支持Cookie，几乎所有的网站设计者都使用了Cookie技术。随着cookie技术的普及，cookie技术使得浏览网页更加容易，但cookie技术的滥用也给用户信息造成了极大的威胁。因此，如何对Cookie进行有效的测试是就成为用户上网安全的重要保证。本文提出了4种Cookie测试方法：测试工具测试法、屏蔽测试法、有选择性拒绝测试法、篡改测试法对Cookie进行全面的测试，实验表明，以上方法能够有效实现对Cookie的全面测试，保证Cookie使用安全。 　　1 Cookie概述 　　1.1 Cookie的概念及作用 　　Cookie是Web服务器保存在用户硬盘上的一段文本，它允许一个Web站点在用户的电脑上保存信息并且随后再取回，信息的片断以“名/值”（Name/Value）对的形式储存，用户在浏览网页时，服务器发送给浏览器的体积很小的纯文本信息，它保存在客户机的内存或客户机的硬盘中，用户以后访问同一个Web服务器时，浏览器会把它们原样发送给服务器。通过让服务器读取它原先保存到客户端的信息，网站能够为浏览者提供一系列方便[1]，例如在线交易过程中标识用户身份、安全要求不高的场合避免用户重复输入用户名和密码、门户网站的主页定制、有针对性地投放广告等。目前Cookie技术已广泛用于Web应用中。 　　1.2 Cookie的组成 　　Netscape公司规定的Cookie格式为：Name=VALUE；Expires=DATE；Path=PATH；Domain=DOMAIN_NAME；SECURE。它由变量名和及其对应值两部分组成，Name即为Cookie的名称，VALUE为其值，Expires是cookie的生存期，PATH标识URL路径，Domain为域名[2]。 　　（1）Name=VALUE：是Cookie必备部分，Name代表其名称，VALUE为其赋值。 　　（2）Expires=DATE：Expires变量标识出Cookie生存期，可以缺省，其书写格式为：星期几，DD-MM-YY HH：MM：SS GMT（GMT表示这是格林尼治时间）。 　　（3）Domain=DOMAIN_NAME：Domain标识出Cookie的主机名或域名，通过该参数可以指定Internet域中可读取浏览器所存取的Cookie的Web服务器，即只有来自这个域的页面才可以使用Cookie中的信息。该参数若缺省时，设置Cookie的属性值为该Web服务器的域名。 　　（4）Path=PATH：Path定义了Web服务器上哪些路径下的页面可获取服务器设置的Cookie。若Path值为“/”，则Web服务器上所有的WWW资源均可读取该Cookie。该项若缺省，Path的属性值表示由Web服务器传给浏览器的资源的路径名。 　　（5）Secure：若Cookie中含有该变量，则说明浏览器和Web Server之间的通信协议为加密认证协议（HTTPS）时，浏览器才可以向服务器提交相应的Cookie。 　　1.3 Cookie的调用过程 　　图1 使用cookie实现单点登录 　　图1所示Cookie实现单点登录的步骤如下： 　　（1）单点登录客户端产生Web应用，向单点登录服务器请求访问和使用受保护的应用。 　　（2）单点登录服务器分析客户端请求，首先检查这个客户端是否已经拥有创建好的有效Cookie。 　　（3）若没有有效的Cookie，单点登录客户端则将Web应用请求重定向至单点登录服务器，用户输入相应信息（如用户名和密码等），然后经过LDAP服务器认