Куки

Ку́ки (англ. Cookie, множина англ. Cookies - тістечка, печиво) — порція службової інформації, якою веб-сервер помічає браузер користувача при відвідуванні, або яка створюється за ініціативою скриптового сценарію на стороні веб-браузера. При наступному візиті сервер буде знати, що користувач вже тут був. За допомогою куки-технології можна вивчити вподобання відвідувача. Куки є одним із найбільш точних засобів визначення унікального користувача.

Застосовується для збереження даних, специфічних для даного користувача, і використовуваних веб-сервером для різних цілей, серед яких:

• у системах з віддаленим доступом — пароль, що породжується сервером при першому підключенні і посилається користувачеві; при подальших підключеннях користувач повинен надавати серверу цей пароль
• відстежування стану сесії

[ред.] Механізм Http-cookie

Сервер може встановити куки у відповідь на запит браузера. Для цього служить заголовок відповіді (response header) Set-cookie.

Куки також може бути встановлений і самим браузером через Javascript, який підтримується більшістю сучасних браузеров.

Браузер повинен зберігати куки на період визначений для її часу життя і посилати куки на сервер в заголовку запиту (request header) Cookie.

У запиті посилаються тільки ті куки, які відповідають домену, шляху і протоколу для яких куки була встановлена.

Вищевикладений механізм застосовний і для будь-якого іншого, відмінного від браузера, клієнтського застосування, що обмінюється інформацією з веб-сервером по протоколу HTTP/HTTPS.

[ред.] Синтаксис RESPONSE Header (Set-cookie)

set-cookie      =       "Set-cookie:" cookies
cookies         =       1#f3fff1
cookie          =       NAME "=" VALUE *("; " cookie-av)
NAME            =       attr
VALUE           =       value
cookie-av       =       "Comment" "=" value
                   |       "Expires" "=" value
                   |       "Domain" "=" value
                   |       "Max-age" "=" value
                   |       "Path" "=" value
                   |       "Secure"
                   |       "Version" "=" 1*digit

Неофіційно заголовок відповіді Set-cookie починається з «Set-cookie:»(без лапок). Кожен cookie починається з пари Name=value; за нею можуть слідувати ще пари Name=value, розділені парою символів «крапка з комою, пропуск» — "; "(без лапок). Синтаксис пари Name=value показаний раніше. Специфікація атрибутів і їх семантики йде далі. Пара Name=value повинна йти першою в кожному cookie. Інші пари ім'я-значення можуть йти далі в довільному порядку. Якщо ім'я змінної зустрічається в cookie не 1 раз, поведінка не визначена.

name=value

Обов'язково. Ім'ям пакету інформації є NAME, значенням — VALUE. імена, що починаються з символу «$»(без лапок), зарезервовані і не повинні використовуватися в додатках.

VALUE непрозоро користувачеві і може бути чим завгодно, що сервер хоче послати, можливо у відібраній сервером придатною для друку ASCII — кодуванню. «Непрозорість» має на увазі, що зміст представляє інтерес і доцільність тільки серверу, cookie, що послав. Зміст може, фактично, бути легким для читання будь-якому, хто досліджує куку.

comment=comment

Опціонально. Оскільки cookie може містити приватну інформацію про користувача, атрибут Comment дозволяє серверу документувати намічене використання cookie. Користувач може проглянути інформацію, щоб вирішити, чи почати(продовжити) сесію з цим cookie.

expires=date Опціонально. Аттрібут Expires указує час зберігання cookie. Замість date повинна стояти дата у форматі «expires=sun, Dd-mon-yyyy Hh:mm:ss GMT», після якої закінчується час зберігання cookie. Якщо цей атрибут не вказаний, то cookie зберігається протягом одного сеансу, до закриття броузера.

domain=domain

Опціонально. Аттрібут Domain визначає домен, для якого cookie є дійсним. Явно вказаний домен повинен завжди починатися з крапки.

max-age=delta-seconds

Опціонально. Атрибут Max-age визначає час життя cookie в секундах. Значення delta-seconds — десяткове не — негативне ціле число. Після закінчення delta-seconds клієнт повинен відмовитися від куки. Значення нуля означає, що від cookie потрібно відмовитися негайно.

path=path

Опціонально. Атрибут Path визначає підмножина URL, до яких застосовується cookie.

secure

Опціонально. Маркер Secure (значення не привласнюється) наказує використовувати тільки (невказаний) безпечний метод з'єднання з сервером всякий раз, коли необхідно послати назад цей cookie.

Програма (можливо під контролем користувача) може визначити, який рівень безпеки відповідає для «secure» cookie. Атрибут Secure потрібно розуміти як радий з безпеки від сервера, вказуючи, що в інтересі сесії захистити зміст cookie.

version=version

Обов'язково. Атрибут Version, десяткове ціле, ідентифікує, якій версії специфікації відповідає cookie. Для даної специфікації застосовується Version=1.

Приклад заголовка відповіді Set-cookie:

Set-cookie: sessionid=678893467800; path=/; domain=.mydomain.com
Set-cookie: lang=ru

[ред.] Синтаксис REQUEST Header (Cookie)

  cookie          =       "Cookie:" cookie-version
                          1*((";" | ",") cookie-value)
  cookie-value    =       NAME "=" VALUE [";" path] [";" domain]
  cookie-version  =       "$version" "=" value
  NAME            =       attr
  VALUE           =       value
  path            =       "$path" "=" value
  domain          =       "$domain" "=" value

Приклад заголовка запиту Cookie:

Cookie: sessionid=678893467800; lang=it

[ред.] Посилання

На англійський мові -

• RFC 2109 "Механізми контроля стану HTTP-сесії" (англ.)
• RFC 2964 "Використання механізмів керування HTTP-сессії" (англ.)
• RFC 2965 " Механізми контроля стану HTTP-сесії. Нов ревізія. HTTP-Cookies 2" (англ.)

На російській мові -

• Що таке куки, і як з ними працювати?
• Cookie та PHP