这次我们聊一下Cookie

LogicVoyagerX
• 阅读 856

这次我们聊一下Cookie

会话跟踪技术用来跟踪用户的整个会话,会话就是用户在登录网站后的一系列动作,常用的是Cookie和Session,两者的唯一区别是前者在浏览器记录信息,后者在服务器。今天只是简单的说下Cookie,知道的就算看个热闹,不知道的希望能帮到你。

这次我们聊一下Cookie

以上图片是我抓包得来,从上面的图片可以看出,cookie中的值是key-value格式的,而且是通过一个分号和空格来间隔的。

cookie的流程是:服务器设置cookie---通过response将cookie传到前端保存在浏览器中---前端访问后端接口时在request header中自动添加上cookie---服务端接收到cookie做一些业务操作。

那么cookie是怎么工作的呢?首先cookie对于浏览器来说只是一个纯文本,浏览器的安装目录下是会有一个专门的文件夹用来保存各个网站的cookie。当从前端发送请求到后端的时候,浏览器会自动的检测下是否有cookie,如果有就会添加到请求的头信息中,以上是浏览器自动帮我们做的。

存储到cookie中的数据,浏览器会自动的放在http请求中,只有是每次请求都必须要发送给服务器的数据才会放到cookie,比如身份验证信息。如果是不必要的,必然会增加网络开销。针对这个存储信息大小,cookie还是做了一些限制的。每个域名下的cookie 的大小最大为4KB,每个域名下的cookie数量最多为20个(但很多浏览器厂商在具体实现时支持大于20个)。

cookie的属性包括:过期时间;域名、路径等等,这些可以自己设置,如果不手动设置就会使用cookie的默认设置。

expires

过期时间,expires必须是 GMT 格式的时间(可以通过new Date().toGMTString()或者 new Date().toUTCString() 来获得)。

如果没有设置的话,那么默认的有效期就是session,就是会话cookie,这种会在浏览器关掉的时候就没有了。

domain和path

domain是域名,path是路径,两者组合起来就构成了 URL,domain和path一起来限制 cookie 能被哪些 URL 访问。

就是说在访问这个域名或者是该域名的子域名下,目录是在该目录或者是在该目录下的子目录下的时候,浏览器会自动把cookie放到请求头部中。

如果没有设置这两个选项,则会使用默认值。domain的默认值为设置该cookie的网页所在的域名,path默认值为设置该cookie的网页所在的目录。

两点需要注意:domain可以设置为页面本身的域名,或者是该域名的父域名,比如说,www.sougou.com,可是设置为www.sougou.com,也可以设置为sougou.com。

secure

secure选项用来设置cookie只在确保安全的请求中才会发送。当请求是HTTPS或者其他安全协议时,包含 secure 选项的 cookie才能被发送至服务器。

默认情况下,cookie不会带secure选项(即为空)。所以默认情况下,不管是HTTPS协议还是HTTP协议的请求,cookie 都会被发送至服务端。但要注意一点,secure选项只是限定了在安全情况下才可以传输给服务端,但并不代表你不能看到这个 cookie。

httpOnly

这个选项用来设置cookie是否能通过 js 去访问。默认情况下,cookie不会带httpOnly选项(即为空),所以默认情况下,客户端是可以通过js代码去访问(包括读取、修改、删除等)这个cookie的。当cookie带httpOnly选项时,客户端则无法通过js代码去访问操作(包括读取、修改、删除等)这个cookie。

在客户端是不能通过js代码去设置一个httpOnly类型的cookie的,这种类型的cookie只能通过服务端来设置。

关于限制客户端去访问cookie的问题,这样做的目的就是为了保证安全。

试想:如果任何 cookie 都能被客户端通过document.cookie获取会发生什么。当我们的网页遭受了 XSS 攻击,有一段恶意的script脚本插到了网页中。这段script脚本做的事情是:通过document.cookie读取了用户身份验证相关的 cookie,并将这些 cookie 发送到了攻击者的服务器。攻击者轻而易举就拿到了用户身份验证信息,于是就可以利用此用户信息访问目标服务器(因为攻击者有合法的用户身份验证信息,所以会通过你服务器的验证)。

下面的这段是从项目中找到的一段关于设置cookie的代码:

public void addCookie(HttpServletResponse response, String cookieValue) {
       if (this.cookieDomain == null) {
           throw new IllegalArgumentException("cookies domain is not null");
       } else {
           Cookie cookie = new Cookie(this.coookieName, cookieValue);
           cookie.setPath(this.cookiePath);
           if (this.cookieDomain != null) {
               cookie.setDomain(this.cookieDomain);
           }

           if (this.cookieMaxAge != null) {
               cookie.setMaxAge(this.cookieMaxAge);
           }

           if (this.cookieSecure) {
               cookie.setSecure(true);
           }

           if (this.cookieHttpOnly) {
               cookie.setHttpOnly(true);
           }

           response.addCookie(cookie);
       }
   }


什么时候 cookie 会被覆盖:cookie中的name、domain、path 这3个字段数值都相同的时候。

如果显式设置了 domain,则设置成什么,浏览器就存成什么;但如果没有显式设置,则浏览器会自动取 url 的 host 作为 domain 值;

修改 cookie。

要想修改一个cookie,只需要重新赋值就行,旧的值会被新的值覆盖。但要注意一点,在设置新cookie时,path、domain这两个字段一定要和之前保持一样。否则是不会确定为之前的cookie,而是添加了一个新的cookie。

删除 cookie

删除一个cookie 也是一样的,也是重新赋值,只要将这个新cookie的expires选项设置为一个过去的时间点或者是直接赋值为0就行了。但同样要注意,path和domain同样需要和之前的cookie保持一致。

在开发的过程中,用户的登录态是大部分是放到cookie里,因为cookie自己有着完整的一套配置,包括上文讲到的各种属性和安全问题,总体来说还是比较方便的。

东西不多,也很简单,希望每个读者都能完全消化。

这样的分享会一直持续,你的关注、转发和点赞是对我最大的支持,感谢。

这次我们聊一下Cookie

点赞
收藏
评论区
推荐文章
灯灯灯灯 灯灯灯灯
4年前
一篇文带你了解什么是一片Cookie走天下
概念Cookie是服务端发送到用户浏览器并且保存到本地的一小块数据,它会在浏览器下次向同一服务器发起请求时,被携带到服务器上。为什么有cookie因为HTTP协议是无状态的(HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。),即服务器不知道用户上一次做了什么,
Dax Dax
3年前
Cookie和Session
Cookie是浏览器(UserAgent)访问一些网站后,这些网站存放在客户端的一组数据,用于使网站等跟踪用户,实现用户自定义功能。Cookie的Domain和Path属性标识了这个Cookie是哪一个网站发送给浏览器的;Cookie的Expires属性标识了Cookie的有效时间,当Cookie的有效时间过了之后,这些数据就被自动删除了。如果不设置
菜园前端 菜园前端
2年前
考考你浏览器缓存有哪些,区别是什么?
原文链接:浏览器缓存主要包含cookie、在HTML5新标准中新增了本地存储localStorage和会话存储sessionStorage。cookie什么是cookie?cookie是一些缓存数据,主要存储在你的电脑中。当你发起网络请求时也会携带当前域名
喷火龙 喷火龙
4年前
cookie和session的详解与区别
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。本章将系统地讲述Cookie与Session机制,并比较说明什么时候不能用Cookie,什么时候不能用Session。1.1 C
Stella981 Stella981
3年前
Django组件——cookie与session
Django组件——cookie与session<fontcolor00bff一、会话跟踪技术</font<fontcolorff7f501、什么是会话跟踪技术</font先了解一下什么是会话。可以把
Stella981 Stella981
3年前
Cookie学习笔记
会话的概念:打开浏览器,输入正确的URL访问服务器,期间浏览器向服务器请求资源,服务器给予资源响应,最后关闭浏览器,客户端和浏览器的连接断开。这一过程可理解为会话。Cookie入门:Cookie是在服务器创建,保存在客户端。Cookie会在客户端保存一些用户的信心,比如浏览信息。在客户端没有删除一个站点的Cookie情况下,在下一次在访问该站点
Stella981 Stella981
3年前
Django_cookie和session
cookie和session1.cookie:在网站中,http请求是无状态的。也就是说即使第一次和服务器连接后并且登录成功后,第二次请求服务器依然不能知道当前请求是哪个用户。cookie的出现就是为了解决这个问题,第一次登录后服务器返回一些数据(cookie)给浏览器,然后浏览器保存在本地,当该用户发送第二次请求的时候,就会自动的把上次
Wesley13 Wesley13
3年前
JavaEE基础(04):会话跟踪技术,Session和Cookie详解
本文源码:GitHub·点这里(https://www.oschina.net/action/GoToLink?urlhttps%3A%2F%2Fgithub.com%2Fcicadasmile%2Fjavabaseparent)||GitEE·点这里(https://gitee.com/cicadasmile/javabasepa
Stella981 Stella981
3年前
Django组件——Cookie与session相关
一,会话跟踪技术1什么是会话跟踪技术我们需要先了解一下什么是会话!可以把会话理解为客户端与服务器之间的一次会晤,在一次会晤中可能会包含多次请求和响应。例如你给10086打个电话,你就是客户端,而10086服务人员就是服务器了。从双方接通电话那一刻起,会话就开始了,到某一方挂断电话表示会话结束。在通话过程中,你会向10086发出多个请求,那
Stella981 Stella981
3年前
SpringBoot整合SpringSeesion实现共享Session方案
Http协议本身是无状态的,为了保存会话信息,浏览器Cookie通过SessionID标识会话请求,服务器以SessionID为key来存储会话信息。在单实例应用中,可以考虑应用进程自身存储,随着应用体量的增长,需要横向扩容,多实例Session共享问题随之而来。下面假设我们使用Nginx来实现负载均衡横向扩节点:!(https://oscimg
Easter79 Easter79
3年前
SpringBoot整合SpringSeesion实现共享Session方案
Http协议本身是无状态的,为了保存会话信息,浏览器Cookie通过SessionID标识会话请求,服务器以SessionID为key来存储会话信息。在单实例应用中,可以考虑应用进程自身存储,随着应用体量的增长,需要横向扩容,多实例Session共享问题随之而来。下面假设我们使用Nginx来实现负载均衡横向扩节点:!(https://oscimg