Introductie

Cookies zijn kleine stukjes (tekst) informatie die een server naar de browser stuurt met de bedoeling dat de browser deze informatie bij een volgend bezoek deze informatie weer naar de server terug zal sturen. Aangezien HTTP (het Internet protocol waarmee browsers verzoeken kunnen sturen naar servers en servers data terug kunnen sturen naar browsers) zogenaamd 'stateless' is, is na ieder verzoek en reactie van de webserver de transactie afgesloten en elk ander nieuw verzoek zal een nieuwe transactie zijn. Kortom de webserver weet niet dat er relaties zijn tussen verschillende verzoeken om een pagina of data. Dit kan lastig zijn als u bijvoorbeeld aan het telebankieren bent wilt u niet bij iedere pagina opnieuw inloggen. Er zijn twee methodes om relaties te leggen tussen HTTP verzoeken.

De eerste is een sessie variabele aan elke link koppelen zodat de webserver kan zien dat het verzoek een samenhang heeft met een eerder verzoek. De tweede methode is het gebruiken van een cookie. Bij het eerste verzoek om een pagina zal de server een cookie naar de browser sturen, die deze zal opslaan. Omdat bij ieder nieuw verzoek van de browser (onzichtbaar voor de gebruiker) de naam en inhoud van de cookie naar de server verzonden zal worden, kan de server een samenhang met een eerder verzoek vaststellen. Op de webserver zal de data van de verschillende verzoeken in een bestandje of in het geheugen bewaard worden (sessie data) waardoor het lijkt alsof de browser gebruiker een samenhangende verbinding heeft met de webserver.

Een groot nadeel van cookies is echter dat deze informatie ook privé kan zijn en reclame bedrijven deze cookies misbruikt hebben om informatie over het surfgedrag van de gebruiker vast te leggen. Met de huidige browsers en cookie technologie is dit misbruik echter bijna niet meer mogelijk. U kunt uw browser zo instellen, dat u wordt gewaarschuwd voor cookies, zodat u kunt kiezen of u de cookie wel of niet wilt accepteren. Soms hebt u geen toegang tot een webpagina als u de cookie niet accepteert. Een cookie kan niet worden uitgevoerd als code en het kan geen virussen verspreiden, is uniek en kan alleen worden gelezen door de webserver die u de cookie heeft gegeven.

Geschiedenis

Cookies zijn voor het eerst in Netscape 1.0 geïntroduceerd, Internet Explorer ondersteunde cookies pas vanaf versie 3. Cookies werden pas zichtbaar voor Internetgebruikers toen in Netscape 3 een optie kwam die gebruikers in staat stelde om gewaarschuwd te worden wanneer er geprobeerd werd een cookie te plaatsen.

Advertentiebureaus ontdekten het cookie ook en gingen het misbruiken voor het bijhouden van surfgedrag. In 1997 kwam er een voorstel dat browsermakers aanmoedigde om het gebruik van cookies inzichtelijker te maken voor de gebruiker. Het gevolg hiervan was dat de gebruiker vanaf toen kon instellen welke cookies geaccepteerd mogen worden.

Cookies kwamen in opspraak toen een bekend Internet advertentiebureau DoubleClick een bedrijf overnam met een grote klantendatabase. DoubleClick wilde de naamsgegevens koppelen aan de profielen van surfers en was van plan deze gegevens te verkopen. Onder druk van verschillende privacy organisaties heeft DoubleClick de gegevens niet verkocht.

In 2002 is de eerste P3P recommendation www.w3.org/TR/P3P gepubliceerd door de W3C. Browsers die zich aan deze specificatie houden, accepteren standaard veel minder cookies. De gebruiker kan desgewenst de instellingen van de browser aanpassen.

SPECIFICATIE

Een cookie zal naar de client (browser) verzonden worden als een Set-Cookie header als onderdeel van een HTTP response. Meestal zal de cookie door een CGI script gegenereerd worden.

Syntax van de Set-Cookie HTTP Response Header

Dit is het formaat van de data die een CGI script kan toevoegen aan de HTTP headers om een stukje data naar de client (browser) te sturen om deze op een later tijdstip weer terug te ontvangen.

Set-Cookie: NAME=waarde; expires=datum; path=pad; domain=naam; secure

NAME=waarde
Dit is het enige verplichte attribuut van de Set-Cookie header.
Deze tekenreeks is een opeenvolging van karakters exclusief puntkomma, komma, spaties en tabs. Als er een behoefte is om dergelijke tekens in de naam of de waarde te plaatsen, is de codeer methode zoals URL stijl %XX de aanbevolen methode, hoewel de wijze van coderen niet bepaald of vereist is.

expires=datum (optioneel)
Dit is een optioneel attribuut, wanneer het niet aanwezig is zal de cookie verlopen als de client sessie afgelopen is, lees de browser afgesloten is. Het expires attribuut specificeert een datum tekenreeks die de geldige levensduur van dat cookie bepaalt. Zodra de vervaldatum is bereikt, zal het koekje niet meer opgeslagen worden of naar de server verzonden worden.
Het datum format is:

Wdy, DD-Mon-YYYY HH:MM:SS GMT

domain=naam (optioneel)
Wanneer de client (browser) zal zoeken in de cookie lijst naar geldige cookies, wordt een vergelijking van de domeinattributen van het koekje gemaakt met de 0 domeinnaam van de Internet host waar het verzoek naar toe gaat. Wanneer er vanaf het einde van de URL een gelijkenis is op domeinnaam, dan zal het pad dat achter de domeinnaam staat vergeleken worden. Vergelijken vanaf het einde van het domein betekent dat het domeinattribuut met het einde van de volledig gekwalificeerde domeinnaam van de gastheer wordt vergeleken. Een domeinattribuut van "acme.com zou" een correcte vergelijking opleveren voor "anvil.acme.com" en "shipping.crate.acme.com".
In de naam moeten minimaal 3 punten voorkomen, alleen Internet host computers in een select aantal toplevel domeinen mogen minimaal 2 punten in de naam hebben. De volgende 7 toplevel domeinen mogen 2 punten hebben, "COM", "EDU", "NETTO", "ORG", "REGERING", "MIL", en "INT". De standaardwaarde van domein naam is de hostnaam van de server die het cookie verzoek produceerde.

path=pad (optioneel)
Het pad attribuut wordt gebruikt om een ondergroep van URLs in een domein te specificeren waarvoor het koekje geldig is. Als een koekje al op domein niveau valide is, dan wordt het pad component van URL vergeleken. Wanneer deze ook overeenkomt wordt het koekje beschouwd als geldig en samen met het verzoek verzonden. Het pad "/foo" zou matchen met "/foobar" en "/foo/bar.html". Pad "/" is de meest algemene weg en geeft een correct vergelijk op alle onderliggende paden. Als het pad niet wordt gespecificeerd dan zal het pad uit de header die de cookie verstuurd overgenomen worden.

secure (optioneel)
Als een koekje de markering secure heeft zal het alleen verzonden worden door de client (browser) wanneer de verbinding veilig is. Momenteel betekent dit dat de veilige koekjes slechts zullen verzonden worden naar (http over ssl) servers. (https). Wanneer secure niet wordt gespecificeerd zal de cookie zowel over veilige als niet veilige kanalen verzonden worden.

Syntax van de Cookie HTTP Request Header

Wanneer een HTTP verzoek naar een Internet host gaat zullen er extra headers meegezonden worden wanneer de cookie vergelijking overeenkomt. Per cookie zal de naam en waarde meegezonden worden. Hier is het formaat van een cookie header regel:

Cookie: NAME1=STRING1; NAME2=STRING2

Aanvullende informatie:

• Meerdere Set-Cookie headers kunnen verzonden worden in één enkele server response.
• Cookies met hetzelfde pad zullen elkaar overschrijven, de meest recente versie zal gebruikt worden. Instanties van hetzelfde pas met verschillende namen zullen verschillend opgeslagen worden. Het plaatsen van cookie met een korter pad dat overlapt met een meer specifiek pad zal geen invloed hebben op de eerder verzonden cookie. Wanneer een pagina opgevraagd zal worden met het specifieke pad en het kortere pad matched ook op het eerste deel van het specifieke pad, zullen beide cookies verzonden worden. Het expires attribuut geeft aan wanneer de cookie verwijderd mag worden, de client (browser) hoeft dit niet te doen en mag de cookie ook verwijderen als bijvoorbeeld het maximale aantal cookies overschreden is.
• Wanneer meerdere cookies naar de server verzonden worden zal de cookie met de meest specifieke match als eerste verzonden worden. Wanneer er dus een cookie is met een pad '/' en een cookie met pad '/foo' zal op de pagina ',/foo' eerst de cookie met het pad '/foo' en daarna de cookie met het pad '/' verzonden worden.
• Er zijn beperkingen op het aantal koekjes dat een cliënt op een gegeven moment kan opslaan. Dit is een specificatie van het minimumaantal koekjes dat een cliënt zou moeten kunnen ontvangen en opslaan.
  • 300 cookies in totaal.
  • 4 kilobytes per cookie.
  • 20 cookies per server of domein.
  Server moeten er van vanuit gaan dat clients (browsers) deze grenzen kunnen overschrijden. Wanneer de 300 cookie grens of de 20 cookies per server grens is overschreden zullen clients (browsers) de minst recente cookie verwijderen. Wanneer een cookie groter is dan 4 kilobytes zal de cookie wel opgeslagen worden maar dan afgebroken op deze 4 kilobyte grens. Wanneer een script een cookie wil verwijderen dient deze een cookie verzoek te sturen met exact dezelfde naam en pad en een tijd in het verleden.
• Wanneer http gecached zal worden, bijvoorbeeld in een proxy server moet een Set-Cookie opdracht nooit gecached worden.
• Een proxy server dient een Set-cookie reactie altijd door te sturen ook als het server antwoord 304 (Not Modified) of 200 (OK) is.

Cookies in PHP

setcookie (PHP 3, PHP 4, PHP 5)

Beschrijving:

boolean setcookie ( string name [, string value [, int expire [, string path [, string domain [, int secure]]]]] )

setcookie() defineert een cookie dat wordt meegezonden met de rest van de header informatie. Zoals elke header moeten cookies verzonden worden voordat er output verzonden wordt vanuit uw script (dit is een restrictie van het protocol). Daarom moet u deze functie aanroepen voor enige output, zoals <html> of <head> tags en whitespace. Als er toch output wordt doorgegeven voor het aanroepen van deze functie, dan zal setcookie() falen en FALSE terug geven. Als alles goed is gegaan, geeft hij TRUE terug. Dit wil echter niet zeggen dat de gebruiker het cookie geaccepteerd heeft.

Alle argumenten behalve de name parameter zijn optioneel. Als alleen het name argument aanwezig is, wordt het cookie met die naam verwijderd van de remote client. U mag een willekeurig argument ook vervangen door een lege string ("") om dat argument over te slaan. De expire en secure argumenten zijn integers en kunnen niet worden overgeslagen met een lege string. Gebruik in plaats daarvan een nul (0). De expire parameter is een normaal Unix tijds integer zoals wordt teruggegeven door de time() of mktime() functies. De secure geeft aan dat het cookie alleen mag worden verzonden over een veilige HTTPS verbinding.

Wanneer cookies eenmaal zijn ingesteld, kunnen ze worden opgeroepen op de volgende pagina met de $_COOKIE of $HTTP_COOKIE_VARS array. Let op dat autoglobals zoals $_COOKIE vanaf PHP 4.1.0 pas aanwezig zijn. $HTTP_COOKIE_VARS bestaat al vanaf PHP 3.

Veel voorkomende fouten:

Cookies worden niet zichtbaar tot de volgende keer dat een pagina waarop het cookie zichtbaar is wordt geladen. Om te testen of een cookie succesvol is meegegeven, controleer dan voor cookies bij het laden van de pagina voor de cookie verloopt. De verlooptijd kunt u instellen met de expire parameter.

Cookies moeten worden verwijderd met dezelfde parameters als waarmee ze werden ingesteld.

Cookie namen kunnen aangegeven zijn als array namen en zullen dan aanwezig zijn in uw PHP scripts als array, maar worden bij de gebruiker als aparte cookies opgeslagen. Overweeg explode() of serialize() om één cookie te gebruiken die meerdere namen en waardes bevat.

In PHP 3 worden meerdere aanroepen van setcookie() in hetzelfde script verwerkt in omgekeerde volgorde. Als u probeert een cookie te verwijderen voordat u een nieuwe neerzet, moet u het toevoegen doen voor het verwijderen. In PHP 4 worden meerdere aanroepen van setcookie() verwerkt in de volgorde waarop ze worden aangeroepen.

Een paar voorbeelden volgen over hoe u cookies kunt verzenden:

Voorbeeld 1. setcookie() stuur voorbeelden

setcookie ("TestCookie", $value);
setcookie ("TestCookie", $value,time()+3600);  /* verloopt in 1 uur */
setcookie ("TestCookie", $value,time()+3600, "/~rasmus/", ".utoronto.ca", 1);  

Wanneer u een cookie verwijdert moet u zorgen dat de expire datum in het verleden is, om het verwijder mechanisme in de browser te activeren. Er volgen voorbeelden hoe u in het vorige voorbeeld verzonden cookies kunt verwijderen:

Voorbeeld 2. setcookie() verwijder voorbeelden

// zet de verlooptijd naar 1 uur in het verleden
setcookie ("TestCookie", "", time() - 3600);
setcookie ("TestCookie", "", time() - 3600, "/~rasmus/", ".utoronto.ca", 1);  

Let er op dat het waarde deel van het cookie automatisch wordt ge-urlencoded wanneer u het cookie verzendt, en wanneer het wordt ontvangen, wordt het automatisch gedecodeerd en toegewezen aan een variabele met dezelfde naam als de cookie naam. Om de inhoud van ons test cookie in een script te zien, kunt u simpelweg een van de volgende voorbeelden gebruiken:

echo $TestCookie;
echo $_COOKIE["TestCookie"];  

U kunt ook array cookies zetten door array notatie in de cookie naam te gebruiken. Dit heeft het effect dat er evenveel cookies worden neergezet als u array elements hebt, maar als het cookie wordt ontvangen door uw script worden de waarden allemaal geplaatst in een array met de naam van het cookie:

setcookie ("cookie[three]", "cookiethree");
setcookie ("cookie[two]", "cookietwo");
setcookie ("cookie[one]", "cookieone");
if (isset ($cookie)) {
   while (list ($name, $value) = each ($cookie)) {
       echo "$name == $value<br>\n";
   }
}