如何检测服务器端是否禁用了Cookie

使用cookie集发送redirect响应; 处理cookie的（特殊）redirectURLtesting – 如果它redirect到正常处理，否则redirect到错误状态。

请注意，这只能告诉你浏览器允许设置cookie，但不能设置多长时间。 我的FF允许我强制所有的cookies进入“会话”模式，除非网站被特别添加到一个例外列表 – 当FFclosures时，这些cookie将被丢弃，而不pipe服务器指定的到期时间。 这是我总是运行FF的模式。

你可以使用Javascript来完成

图书馆：

 function createCookie(name, value, days) { var expires; if (days) { var date = new Date(); date.setTime(date.getTime() + (days * 24 * 60 * 60 * 1000)); expires = "; expires=" + date.toGMTString(); } else expires = ""; document.cookie = name + "=" + value + expires + "; path=/"; } function readCookie(name) { var nameEQ = name + "="; var ca = document.cookie.split(';'); for (var i = 0; i < ca.length; i++) { var c = ca[i]; while (c.charAt(0) == ' ') c = c.substring(1, c.length); if (c.indexOf(nameEQ) == 0) return c.substring(nameEQ.length, c.length); } return null; } function eraseCookie(name) { createCookie(name, "", -1); } function areCookiesEnabled() { var r = false; createCookie("testing", "Hello", 1); if (readCookie("testing") != null) { r = true; eraseCookie("testing"); } return r; } 

运行代码：

 alert(areCookiesEnabled()); 

记得

这只适用于Javascript启用！

我不认为有直接的方法来检查。 最好的方法是在cookie中存储一个值，并尝试读取它们，并决定是否启用cookie。

检查Cookie支持的常见方法是通过redirect。

只有在用户尝试执行启动会话的某些操作时（例如login或向购物车添加内容），才能做到这一点。 否则，根据您的处理方式，您可能会阻止访问整个网站的用户（或机器人）不支持Cookie。

首先，服务器检查login数据是否正常 – 如果login数据是错误的，用户将正常收到该反馈。 如果是正确的，那么服务器立即响应一个cookie，并redirect到一个页面，该页面用于检查该cookie – 这可能只是相同的URL，但有一些标志添加到查询string中。 如果第二个页面没有收到cookie，那么用户会收到一条消息，指出他们无法login，因为cookie在浏览器中被禁用。

如果您已经为您的login表单执行了Post-Redirect-Get模式，那么此设置和Cookie检查不会添加任何其他请求 – 可以在现有redirect过程中设置Cookie，并且由加载的目的地进行检查redirect后。

现在为什么我只做一个用户发起的行动之后，而不是每个页面加载一个cookietesting。 我已经看到网站在每一个页面上实施cookietesting，没有意识到这将会对尝试抓取网站的search引擎产生影响。 也就是说，如果用户启用了cookie，那么testingcookie将被设置一次，因此他们只需要在他们请求的第一页上进行redirect，从那时起就没有redirect。 但是，对于任何浏览器或其他用户代理，如search引擎，不会返回cookie，每个页面可能只是导致redirect。

检查cookie支持的另一种方法是使用Javascript – 这样，不需要redirect – 您可以编写一个cookie并立即将其读回，以查看它是否存储并检索。 不利的一面是它在客户端的脚本中运行 – 也就是说，如果你仍然想要关于是否支持cookies返回到服务器的消息，那么你仍然必须组织这些 – 比如使用Ajax调用。

对于我自己的应用程序，通过在用户login之前在login屏幕上设置一个包含随机标记的cookie，并在用户提交login信息时检查该标记，对“loginCSRF”攻击（一种CSRF攻击的变体）细节。 详细了解GoogleloginCSRF。 这样做的副作用是，他们login时，我可以检查该cookie的存在 – 一个额外的redirect是没有必要的。

我总是用这个：

 navigator.cookieEnabled 

根据w3schools “所有主stream浏览器都支持cookieEnabled属性”。

但是，当我使用表单，我可以指示浏览器发送附加信息时，这适用于我。

通常情况下，您可能只需要在用户对网站采取某些措施（例如提交login表单，将商品添加到购物车等）后检查Cookie支持。

对于我目前来说，检查cookie支持与CSRF（跨站点请求伪造）预防是同时进行的。

你也许应该去其他地方阅读关于CSRF的更多信息 ，但其背后的想法是，其他网站可能会欺骗或您的用户提交他们select隐藏的forms到自己的网站。 解决方法是在查看器查看表单时设置cookie，并将匹配标记设置为隐藏表单元素，然后在处理表单时检查cookie和隐藏表单元素是否已设置并相互匹配。 如果是企图进行的CSRF攻击，则该网站将无法提供隐藏字段以匹配用户的Cookie，因为用户的Cookie在同源策略下不可读取。

如果一个表单没有提交cookie，但是它包含一个有效的标记，那么你可以从中得出结论，用户禁用了cookie，并且抛出一条消息，指出用户应该启用cookie并重新尝试。 当然，另一种可能是用户是企图进行CSRF攻击的受害者。 因此，当cookie不匹配时阻止用户也会有防止这种攻击的副作用。

尝试将某些东西存储到cookie中，然后读取它。 如果你没有得到你所期望的，那么cookies可能被禁用。

检查这个代码，它会帮助你。

 <?php session_start(); function visitor_is_enable_cookie() { $cn = 'cookie_is_enabled'; if (isset($_COOKIE[$cn])) return true; elseif (isset($_SESSION[$cn]) && $_SESSION[$cn] === false) return false; // saving cookie ... and after it we have to redirect to get this setcookie($cn, '1'); // redirect to get the cookie if(!isset($_GET['nocookie'])) header("location: ".$_SERVER['REQUEST_URI'].'?nocookie') ; // cookie isn't availble $_SESSION[$cn] = false; return false; } var_dump(visitor_is_enable_cookie()); 

cookie是否“启用”的问题太布尔。 我的浏览器（Opera）有一个每个站点的cookie设置。 此外，该设置不是是/否。 最有用的forms实际上是“仅会话”，忽略了服务器的失效date。 如果你在设置之后直接testing，它将会在那里。 明天，它不会。

而且，因为这是一个可以更改的设置，所以即使testing了cookies是否仍然存在，只会在testing时告诉您设置的设置。 我可能决定手动接受一个cookie。 如果我一直被垃圾邮件，我可以（有时会）只是closures该网站的Cookie。

如果您只想检查是否启用会话cookie（在会话的整个生命周期中存在的cookie），请在web.config文件中将会话模式设置为AutoDetect ，然后Asp.Net框架将向客户端浏览器写入cookie称为AspxAutoDetectCookieSupport 。 然后，您可以在Request.Cookies集合中查找此cookie，以检查是否在客户端上启用了会话cookie。

例如在你的web.config文件中设置：

 <sessionState cookieless="AutoDetect" /> 

然后检查客户端上是否启用了cookie：

 if (Request.Cookies["AspxAutoDetectCookieSupport"] != null) { ... } 

旁注：默认情况下，这被设置为UseDeviceProfile，只要客户端支持 ，即使Cookie被禁用，也将尝试向客户端写入cookie。 我觉得这有点奇怪，这是默认选项，因为它似乎毫无意义 – 在客户端浏览器中将Cookie设置为UseDeviceProfile时，会话将不起作用，并且如果您支持不支持Cookie的客户端的无Cookie模式，那么为什么不使用AutoDetect并支持无cookie模式的客户端，他们被禁用…

我在上面使用了一个更简化的“balexandre”的答案。 它会尝试设置并读取会话cookie，仅用于确定是否启用了Cookie。 是的，这也要求启用JavaScript。 所以如果你有一个标签，你可能需要一个标签。

 <script> // Cookie detection document.cookie = "testing=cookies_enabled; path=/"; if(document.cookie.indexOf("testing=cookies_enabled") < 0) { // however you want to handle if cookies are disabled alert("Cookies disabled"); } </script> <noscript> <!-- However you like handling your no JavaScript message --> <h1>This site requires JavaScript.</h1> </noscript> 

cookieEnabled属性返回一个布尔值，该值指定是否在浏览器中启用Cookie

 <script> if (navigator.cookieEnabled) { // Cookies are enabled } else { // Cookies are disabled } </script> 

使用navigator.CookieEnabled启用cookies（它将返回false的真）和Html标签无脚本。 顺便navigator.cookieEnabled是JavaScript，所以不要键入它的HTML

 <?php session_start(); if(SID!=null){ echo "Please enable cookie"; } ?>