ASP.NET中Cookie编程入门
Leap

Cookie 为 Web 应用程序保存用户相关信息提供了一种有用的方法。例如，当用户访问您的站点时，您可以利用 Cookie 保存用户首选项或其他信息，这样，当用户下次再访问您的站点时，应用程序就可以检索以前保存的信息。

什么是 Cookie？

Cookie 是一小段文本信息，伴随着用户请求和页面在 Web 服务器和浏览器之间传递。用户每次访问站点时，Web 应用程序都可以读取 Cookie 包含的信息。 

Cookie 是与 Web 站点而不是与具体页面关联的，所以无论用户请求浏览站点中的哪个页面，浏览器和服务器都将交换 www.contoso.com 的 Cookie 信息。用户访问其他站点时，每个站点都可能会向用户浏览器发送一个 Cookie，而浏览器会将所有这些 Cookie 分别保存。

使用 Cookie 能够达到多种目的，所有这些目的都是为了使 Web 站点记住您。例如，一个实施民意测验的站点可以简单地利用 Cookie 作为布尔值，表示您的浏览器是否已经参与了投票，从而避免您重复投票； 而那些要求用户登录的站点则可以通过 Cookie 来确定您是否已经登录过，这样您就不必每次都输入凭据。

Cookie 的限制

大多数浏览器支持最多可达 4096 字节的 Cookie，如果要将为数不多的几个值保存到用户计算机上，这一空间已经足够大，但您不能用一个 Cookie 来保存数据集或其他大量数据。在实际应用中，您可能并不希望在 Cookie 中保存大量的用户信息，而只希望保存用户编号或其他标识符。之后，当用户再次访问您的站点时，您就可以使用该用户 ID 在数据库中查找用户的详细信息。（有关保存用户信息的说明，请参阅 Cookie 和安全性。） 

　　浏览器还限制了您的站点可以在用户计算机上保存的 Cookie 数。大多数浏览器只允许每个站点保存 20 个 Cookie。如果试图保存更多的 Cookie，则最先保存的 Cookie 就会被删除。还有些浏览器会对来自所有站点的 Cookie 总数作出限制，这个限制通常为 300 个。 

　　您最可能遇到的 Cookie 限制是：用户可以设置自己的浏览器，拒绝接受 Cookie。您很难解决这个问题，除非完全不使用 Cookie 而是通过其他机制来保存用户相关信息。保存用户信息的一种常用方法是会话状态，但会话状态又依赖于 Cookie。

编写 Cookie 

您可以利用页面的 Response（英文）属性来编写 Cookie，该属性提供的对象使用户可以将信息添加到由页面向浏览器呈现的信息中。Response 对象支持一个名为 Cookies（英文）的集合，您可以向其中添加要写入浏览器的 Cookie。

在创建 Cookie 时，您需要指定几个值。最初，您要指定 Cookie 的名称和其中保存的值。您可以创建多个 Cookie，每个 Cookie 都必须具有唯一的名称，以便日后读取时识别。（Cookie 是按名称保存的，所以如果您创建了两个名称相同的 Cookie，后保存的那一个将覆盖前一个。）

一个 Cookie 的有效期应为多长？这取决于 Cookie 的用途，换句话说，取决于您的应用程序需要 Cookie 值保持有效的时间有多长。如果利用 Cookie 统计网站的访问者，您可以把有效期设置为 1 年，如果某个用户已有一年时间未访问您的站点，则可以把该用户当作新的访问者； 如果利用 Cookie 来保存用户的首选项，则可以把其设置为永远有效（例如 50 年后到期），因为定期重新设置首选项对用户而言是比较麻烦的。有时，您可能需要编写在数秒或数分钟内即过期的 Cookie。

读取 Cookie 

当浏览器向服务器发送请求时，该服务器的 Cookie 会与请求一起发送。在 ASP.NET 应用程序中，您可以使用 Request 对象来读取 Cookie。Request 对象的结构与 Response 对象的结构基本相同，所以从 Request 对象中读取 Cookie 的方法与向 Response 对象中写入 Cookie 的方法非常类似。

在获取 Cookie 的值之前，应该确保该 Cookie 确实存在。否则，您将得到一个 System.NullReferenceException（英文）异常。还需要注意的是，在页面中显示 Cookie 的内容之前，我调用了 HttpServerUtility.HtmlEncode（英文）方法对 Cookie 的内容进行编码。之所以这样做，是因为我要显示 Cookie 的内容（一般您不会这样做）而且要确保没有任何恶意用户在 Cookie 中添加了可执行脚本。

删除 Cookie 

删除 Cookie（即把该 Cookie 从用户的硬盘上物理删除）是修改 Cookie 的一种形式。由于 Cookie 位于用户的计算机中，所以您无法直接将其删除。但是，您可以让浏览器为您删除 Cookie。修改 Cookie 的方法前面已经介绍过（即用相同的名称创建一个新的 Cookie），不同的是将其有效期设置为过去的某个日期。当浏览器检查 Cookie 的有效期时，就会删除这个已过期的 Cookie。 

　　所以，删除 Cookie 的方法与创建该 Cookie 的方法是相同的，只不过要把其有效期设置为过去的某个日期。

Cookie 与安全性

在使用 Cookie 时，您必须意识到其固有的安全弱点。

对于初学者，就应用程序而言，Cookie 是用户输入的另一种形式，因而很容易被他人非法获取和利用。由于 Cookie 保存在用户自己的计算机上，所以用户至少可以看到您保存在 Cookie 中的信息。如果用户愿意，还能在浏览器向您发送 Cookie 之前修改该 Cookie。 

　　所以，您千万不要在 Cookie 中保存保密信息 - 用户名、密码、信用卡号等等。在 Cookie 中不要保存不应该由用户掌握的内容，也不要保存可能被其他窃取 Cookie 的人控制的内容。

Cookie 和会话状态

当用户访问您的站点时，服务器会为该用户创建唯一的会话，会话将一直延续到用户访问结束。对于每个会话，ASP.NET 都维护一种基于服务器的结构（会话状态），在该结构中应用程序可以保存用户的相关信息。

ASP.NET 需要能跟踪每个用户的会话 ID，这样才能把用户映射到服务器上的会话状态信息。默认情况下，ASP.NET 使用一个非永久性的 Cookie 来保存会话状态。但是如果用户禁用了浏览器的 Cookie，会话状态就不能使用 Cookie 来保存会话 ID，会话状态也不会起作用。

无 Cookie 会话可以避免浏览器拒绝 Cookie 的问题，使您能够使用会话状态。如果您的应用程序依赖于会话状态，您可能就需要对其进行配置，使它能使用无 Cookie 会话。但是，在某些情况下，如果用户与其他人共享 URL - 可能是用户通过电子邮件将 URL 发送给同事，而该用户的会话仍然处于激活状态 - 那么最终这两个用户可能共享同一个会话。