【HTTP】聊聊cookie与session那些事

最新推荐文章于 2023-11-27 20:32:54 发布
最新推荐文章于 2023-11-27 20:32:54 发布
阅读量296 收藏 6
点赞数
分类专栏: web安全 文章标签: HTTP session cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Monsterlz123/article/details/93657528
版权

【协议】浅谈Cookie与Session那些事

Hello,各位小伙伴晚上好,这里是你们的劳模小编。
在这里插入图片描述

话说上周被问到什么是cookie的同源策略?

小编表示一脸懵逼~
在这里插入图片描述

于是今天初步总结了一下cookie和session,我们一起来看看吧~

一、什么是cookie?

1、为什么需要cookie?

首先我们要明确一个概念,就是我们访问web服务所使用的HTTP服务是无状态的。这就意味着,服务器无法分辨收到的请求,是属于哪一个用户的。

这时候,我们就需要通过cookie来对用户的身份进行标识了,用户每次对服务器发起请求时,都带上自己的cookie,服务器通过读取cookie信息,识别用户。

2、cookie是怎么工作的?
在这里插入图片描述

当用户第一次访问web服务器时,服务器会通过HTTP响应报文中的Set-Cookie字段,给用户分配一个唯一的标识:cookie
在这里插入图片描述

当该用户再次向服务器端发起请求时,会将获取到的cookie存放在HTTP请求报文的Cookie字段中,一并发往服务器。服务器通过读取cookie字段的值来识别用户。

在这里插入图片描述

Cookie都是有失效时间的,默认情况下它是一个会话级别的cookie,存储在浏览器的内存中,当用户退出浏览器之后就会被删除,下次访问时需要重新获取。
在这里插入图片描述

如果网站希望浏览器将该Cookie存在的时间更长一些,也可以设置最大时效(例如七天免登陆),超过时效后再删除cookie。

3、cookie的属性

Cookie属性包括:name、value、expires、domain、path、secure、max-age、HttpOnly。

各属性的作用分别如下:

  • name
    name属性是必需的,它是一个键值对,用于指定Cookie的键。
  • value
    value属性是必需的,它是一个键值对,用于指定Cookie的值。
  • expires
    expires属性用于指定Cookie过期时间。
  • domain
    domain属性指定Cookie所在的域名。
  • path
    path属性用来指定路径,必须是绝对路径(比如/、/mydir),如果未指定,默认为请求该Cookie的网页路径。
  • secure
    secure属性用来指定Cookie只能在加密协议HTTPS下发送到服务器。
  • max-age
    max-age属性用来指定Cookie有效期,正常情况下优先级高于expires。
  • HttpOnly
    HttpOnly属性用于设置该Cookie不能被JavaScript读取.

4、一些安全特性

(1)同源策略

假如网站A有cookie,网站B也有cookie,那浏览器访问网站B时,会不会携带上网站A的cookie呢?又或者网站B能不能修改网站A的cookie呢?

为了避免出现这种情况,浏览器引入了同源策略。必须满足以下三个条件,才能互相读取cookie值。

  • 协议相同
  • 域名相同
  • 端口相同

以下图为例,只有前两个网站符合同源要求:
在这里插入图片描述

(2)Cookie作用域

domain是域名,path是路径,两者加起来就构成了 URL,domain和path一起来限制 cookie 能被哪些 URL 访问。

浏览器向服务器提交cookie,需要满足两点要求:

  • 当前域名或者父域名下的cookie
  • 当前路径或者父路径下的cookie

以domain为例,现在有如下3个域名:

如果在域名example.com下设置获取cookie,那么该域名下的子域名都可以接收到cookie。

如果在域名monster.example.com下设置cookie,example.com不能获取到域名,www.monster.example.com可以获取到。因此子路经可以从父路径读取cookie,但父路径不可以从子路径读取。

(3)HttpOnly

JS 原生的 API提供了获取cookie的方法:document.cookie,在XSS攻击中,常常被用于盗取用户的cookie。

如果能够盗取网站管理员的cookie,那么就可以用管理员的身份直接登录网站后台,而不必非要去获得管理员账号和密码。

攻击者准备一台事先Web服务器(IP地址192.168.80.142),在其中创建一个名为getcookie.php的网页,网页代码如下:
在这里插入图片描述

在正常网页通过XSS漏洞插入以下恶意代码:
在这里插入图片描述

一旦用户访问该页面,cookie值就会被盗用,并发送去攻击者的服务器:
在这里插入图片描述

HttpOnly属性用来设置cookie是否能通过 js去访问,默认情况下该选项为空,客户端是可以通过js代码去访问(包括读取、修改、删除等)cookie的。

当cookie带httpOnly选项时,客户端则无法通过js代码去访问了,是用于防御XSS攻击的常用手段之一。

二、什么是session?

session是另一种会话状态管理机制,不同的是Cookie被保存在客户端,而Session保存在服务器上,流程如下图所示:
在这里插入图片描述
当浏览器访问服务器时,服务器会为每一个访问用户生成一个session文件,用于存储用户信息。

每一个session都有一个唯一的sessionid,创建完session后,服务器会将sessionid通过cookie返回给客户端,客户端获取到的sessionid如下:
在这里插入图片描述

当客户端后续发送请求报文时,都会通过cookie字段带上sessionid。服务器收到请求报文后,通过读取sessionid在本地查找session信息,从而识别用户的身份。

根据sessionid在服务器查找session文件如下,记录了用户信息:
在这里插入图片描述

三、cookie和session对比

1、cookie存放在客户端,而session存放在服务器端

2、cookie因为保存在客户端本地,因此存在被拦截或者修改的风险。

3、session因为存放在服务器端,更安全,但用户量越大,服务器压力也越大。

4、cookie的存储限制了数据量,只允许4KB,而session是无限量的。

因此,我们最好不要用cookie来直接存放用户账号、密码等敏感信息,传输过程中存在泄漏风险。

而session虽然安全,但也更占服务器资源,因此将cookie和session混合使用的方式,是一个比较好的解决方案。

例如用session存放敏感信息,而cookie则用于保存那些不太重要的信息。

好啦,以上就是今天的全部内容了,大家都明白了吗?

最后,欢迎关注我的个人微信公众号。
在这里插入图片描述

Peace !
在这里插入图片描述

Monsterlz123
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cookie的路径
李昆鹏的博客
07-30 2万+
------------------------------- cookie的路径------------------------------------- Cookie的路径 Cookie还有一个path属性,可以通过Cookie#setPath(String)方法来设置。你可以使用HttpWatch查看响应中的Set-Cookie中是否存在路径。下面是通过FireFox查看Cookie信息...
聊聊鉴权那些(推荐)
12-09
在系统级项目开发时常常会遇到一个问题就是鉴权,身为一个前端来说可能我们距离鉴权可能比较远,一般来说我们也只是去应用,并没有对权限这一部分进行深入的理解。 什么是鉴权 鉴权:是指验证用户是否拥有访问系统的...
如何利用response.addHeader()方法设置cookie
shandalue的专栏
07-02 2万+
cookie设置成HttpOnly是为了防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。 如何在Java中设置cookieHttpOnly呢? Servlet 2.5 API 不支持 cookie设置HttpOnly http://docs.oracle.com/cd/E17802_01/products/prod
nginx添加Set-Cookie属性Secure和HttpOnly
热门推荐
sumengnan的博客
02-23 3万+
问题:在https环境中,等保要求为set-cookie增加secure属性(为了安全,防止http请求时使用此cookie) 解决办法: 在nginx配置文件中可以是用proxy_cookie_path属性实现,该属性可以修改response set-cookie的path属性。如下: proxy_cookie_path / "/; Path=/; Secure; HttpOnly"; 完整的location代码: location / { proxy...
Cookie中path总结
qq_42861526的博客
11-17 1万+
一、Cookie中的path cookie中的path是cookie生效的范围,一般场景下cookie是服务器返回给客户端的一段数据,并且在该cookie的作用域内,每次请求都会在请求头中自动带上该cookie。而path就是这个cookie的作用域范围。 /fileUp/userLogin下创建的cookie默认范围是/fileUp/**。此时请求/fileUp/userLogin/aa会带上该cookie,但访问/fileUp/aa则不会。 二、当我们使用默认的path值 cookie的默认path是根
同源策略及cookie中的path
工作学习笔记
06-27 839
【代码】浏览器同源策略。
会话技术之Cookie详解
01-08
恰巧有机会重新学习Java Web,今天就再次来简单的聊一聊CookieSession。 1.会话与会话技术 ​在日常生活中,我们拨打电话接通后到挂断前,在这期间两人的交流就是一个会话。Web应用中的会话类似生活中的打电话,...
基于PHP的无名轻聊PHP源码.zip
08-28
PHP可以通过sessioncookie来管理用户的会话状态,确保只有合法用户才能访问和发送消息。 8. 错误处理与日志记录:良好的错误处理和日志记录机制能够帮助开发者快速定位和解决问题,提升软件的稳定性和可靠性。 9...
PHP实例开发源码—无名轻聊PHP源码.zip
11-24
【标题】"PHP实例开发源码—无名轻聊PHP源码.zip" 是一个压缩包,其中包含了PHP语言实现的一款名为“无名轻聊”的应用的源代码。这个实例源码可能是一个简单的在线聊天系统或者社交平台,为开发者提供了一个学习和...
1019javascript学习资料的积累
yuqiangyuqiang的专栏
10-19 647
1.如何取得一个长字符串中出现字符最多的次数和该字母代码:var str ="adadfdfseffserfefsefseeffffftsdg"; //命名一个变量放置给出的字符串var maxLength = 0; //命名一个变量放置字母出现的最高次数并初始化为0var result = ; //命名一个变量放置结果输入while( str != ){ //循环迭代开始,
cookie中的path与domain属性详解
12-07
1.domain表示的是cookie所在的域,默认为请求的地址,如网址为www.jb51.net/test/test.aspx,那么domain默认为www.jb51.net。而跨域访问,如域A为t1.test.com,域B为t2.test.com,那么在域A生产一个令域A和域B都能访问的cookie就要将该cookie的domain设置为.test.com;如果要在域A生产一个令域A不能访问而域B能访问的cookie就要将该cookie的domain设置为t2.test.com。 2.path表示cookie所在的目录,asp.net默认为/,就是根目录。在同一个服务器上有目录如下:/te
正确使用 cookie 的 path
longxzq的专栏
03-12 694
转自:http://www.cftea.com/c/825.asp cookie 有路径--path,表示哪些路径下的文件有权限读取该 cookie。 path 应该以 "/" 结尾,同名 cookie,不同 path,属不同的 cookiedocument.cookie = "N1=1; path=/path/";document.cookie = "N1=2; path=/path";...
浅析cookie之path篇
a7442358的专栏
12-21 1910
浅析cookie之path篇
Cookie 有效路径 Path 的设置
qq_45554909的博客
05-29 2474
Cookie 的 path 属性可以有效的过滤哪些 Cookie 可以发送给服务器。哪些不发。 path 属性是通过请求的地址来进行有效的过滤。 CookieA path=/工程路径 CookieB path=/工程路径/abc 请求地址如下: http://ip:port/工程路径/a.html CookieA 发送 CookieB 不发送 http://ip:port/工程路径/abc/a.html CookieA 发送 CookieB 发送 servlet程序: protected void
cookie 里面都包含什么属性?
小草莓的博客
11-09 1128
这些属性中的大部分都是可选的,但通常建议至少设置名称、值和域属性来确保cookie 能够按预期工作。
cookie的生命周期和有效路径
weixin_74484843的博客
11-27 808
1.Cookie的生命周期指的是如何管理Cookie什么时候被销毁(删除)正数:表示在指定秒数后过期负数:表示浏览器关闭,Cookie就会被删除(默认值是-1)0:表示马上删除Cookie
JavaScript中cookie的路径(path)和域(domain)
程宇寒
03-19 6583
cookie虽然是由一个网页所创建,但并不只是创建cookie的网页才能读 取该cookie。在默认情况下,与创建cookie的网页在同一目录或子目录下的所有网页都可以读取该cookie。但如果在这个目录下还有子目录,要 使在子目录中也可以访问,则需要使用path参数设置cookie,语法如下: document.cookie="name=value; path=cookieDir"; 如果...
cookie的path值的默认规则
YECHWNG的专栏
05-07 1万+
Java代码中添加cookiecookie的path值的默认规则 在项目中有时需要用cookie来保存用户信息,很多时候我们都只设置了cookie的name、value和maxAge,而没有去管path。例如下面的“代码块1”是当一个用户首次访问网站的时候添加一个cookie(假设网站的域名是www.csdn.com)用来表示用户是未登录的新用户。 代码块1.........过滤器中其他代码,判断
Cookie的所有属性详解
风吹过的博客
08-05 1万+
Cookie 本文将会讲一下Cookie 的各种属性 下图是浏览器中的Cookie截图,属性分别有Name、Value、Domain、Path、Expires/Max-age、Size、HttpOnly、Secure、SameSite和Priority。   Name和Value Name和Value是一个键值对。Name是Cookie的名称,Cookie一旦创建,名称便不可更改,一般名称不区分大小写;Value是该名称对应的Cookie的值,如果值为Unicode字符,需要为字符编码。如果值为二进制数据
Http会话管理演示文稿
最新发布
04-26
Http会话管理演示文稿,包含对CookieSession的详解介绍以及使用,能够帮助我们了解会话原理及编程中应用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值