【Python Web开发】04-Cookie和Session

最新推荐文章于 2025-05-30 09:23:19 发布

原创最新推荐文章于 2025-05-30 09:23:19 发布 · 1k 阅读

29 ·

CC 4.0 BY-SA版权

文章标签：

#python #前端 #开发语言

Python Web开发专栏收录该内容

5 篇文章

订阅专栏

文章目录

在 HTTP 协议里，Cookie 和 Session 是用于管理客户端与服务器之间会话状态的两种重要机制

1. Cookie

1.1 定义

Cookie 是服务器发送到用户浏览器并保存在本地的一小块数据。它是为了让服务器能够识别不同的客户端，记住客户端的一些信息而产生的。因为 HTTP 协议是无状态的，服务器无法记住不同请求之间的关联，Cookie 则在一定程度上弥补了这一缺陷。

1.2 工作原理

服务器发送 Cookie：当客户端（如浏览器）向服务器发送请求时，服务器可以在响应头中添加 Set - Cookie 字段，将 Cookie 信息发送给客户端。例如，服务器返回的响应头可能包含如下内容：

Set - Cookie: name=value; Domain=.example.com; Path=/; Expires=Thu, 01 - Jan - 2026 00:00:00 GMT; HttpOnly; Secure

这里面各参数的含义如下：

name=value：Cookie 的名称和对应的值。
Domain：指定 Cookie 可以被发送到哪些域名下。
Path：指定 Cookie 可以被发送到服务器的哪些路径下。
Expires：设置 Cookie 的过期时间。
HttpOnly：如果设置了该属性，JavaScript 脚本将无法访问这个 Cookie，能有效防止 XSS 攻击。
Secure：表示这个 Cookie 只能通过 HTTPS 协议传输。

客户端保存 Cookie：浏览器接收到响应后，会将 Cookie 保存到本地
客户端发送 Cookie：当浏览器再次向同一服务器发送请求时，会在请求头中添加 Cookie 字段，将之前保存的 Cookie 信息发送给服务器。例如

Cookie: username=JohnDoe

服务器处理 Cookie：服务器接收到请求后，会从请求头中读取 Cookie 字段，根据其中的信息进行相应的处理。

1.3 用途

会话管理：在用户登录网站后，服务器可以通过 Cookie 来跟踪用户的会话状态，识别用户身份，实现用户的登录保持、购物车等功能。
个性化设置：网站可以根据用户的偏好设置（如语言、主题等）生成对应的 Cookie，下次用户访问时直接加载用户的个性化设置。
分析和统计：网站可以使用 Cookie 来统计用户的访问信息，如访问次数、停留时间等，以便进行网站优化和市场分析。

1.4 优缺点

优点
- 可在客户端和服务器间持久化存储少量数据，减轻服务器存储压力。
- 简单易用，主流浏览器都支持。
缺点
- 安全性低：数据存储在客户端，易被窃取和篡改，可能引发信息泄露、会话劫持等问题。
- 存储容量有限：一般单个 Cookie 存储容量不超过 4KB。
- 增加网络流量：每次请求都会携带 Cookie，增加了不必要的流量开销。

2. Session

2.1 定义

Session 是一种在服务器端记录客户端状态的机制。

服务器会为每个客户端创建一个唯一的会话标识，通过这个标识来跟踪客户端的一系列请求，从而实现状态的保持。

2.2 工作原理

创建会话：用户首次访问服务器，服务器创建新的 Session 对象并生成唯一的 Session ID。
发送 Session ID：服务器将 Session ID 通过响应头中的 Set - Cookie 字段发送给客户端，客户端将其保存为 Cookie。示例响应头如下：

Set - Cookie: session_id=abc123; path=/; HttpOnly

携带 Session ID：后续客户端每次向服务器发送请求时，都会在请求头的 Cookie 字段中携带这个 Session ID。示例请求头如下：

Cookie: session_id=abc123

*识别会话：服务器接收到请求后，从请求头中提取 Session ID，找到对应的 Session 对象，识别用户请求并获取会话状态。

2.3 用途

用户登录状态管理：确保用户登录后在一段时间内无需重复登录。
购物车功能：保存用户购物车内容，直至完成结算。
多页面表单提交：保存中间结果，确保数据完整性。

2.4 优缺点

优点
- 安全性高：数据存储在服务器端，不易被客户端篡改。
- 存储容量大：可存储更多的数据。
缺点
- 占用服务器资源：每个用户的 Session 数据都需服务器存储和管理，用户量大时会增加服务器负担。
- 实现复杂：需服务器端进行额外的管理和维护

3. Cookie 与 Session 的关系

相互配合：通常情况下，Session 依赖 Cookie 来传递 Session ID，以此识别用户会话。
替代方案：若客户端禁用了 Cookie，也可通过 URL 重写等方式传递 Session ID，但安全性和用户体验会受影响。

4. 安全性考量

Cookie 的安全问题及防范措施

信息泄露：由于 Cookie 存储在客户端，可能会被恶意软件窃取，导致用户信息泄露。防范措施包括使用 HTTPS 协议加密传输 Cookie，设置 HttpOnly 和 Secure 属性。
会话劫持：攻击者可能会获取用户的 Cookie 信息，然后使用该 Cookie 模拟用户的会话，进行非法操作。可以通过定期更新 Cookie 的值、设置较短的过期时间等方式来降低风险。
跨站脚本攻击（XSS）：攻击者可以通过 XSS 漏洞获取用户的 Cookie 信息。通过对用户输入进行严格的过滤和转义，以及设置 HttpOnly 属性，可以有效防止 XSS 攻击。

Session 的安全问题及防范措施

会话劫持：与 Cookie 类似，攻击者可能会窃取 Session ID 来冒充用户。可以通过使用 HTTPS 加密传输 Session ID、设置 HttpOnly 和 Secure 属性来防止 Session ID 被窃取。
会话固定攻击：攻击者可以诱使用户使用自己预先知道的 Session ID 进行登录，从而控制用户的会话。可以通过在用户登录后重新生成 Session ID 来防止此类攻击。
会话过期：如果 Session 过期时间设置不合理，可能会导致用户体验不佳或安全风险。应该根据实际情况合理设置 Session 的过期时间。

5. Python 中使用 Cookie 和 Session

使用 Flask 框架

from flask import Flask, request, session, make_response

app = Flask(__name__)
app.secret_key = 'your_secret_key'

@app.route('/set_cookie')
def set_cookie():
    resp = make_response('Setting cookie!')
    resp.set_cookie('user', 'Alice')
    return resp

@app.route('/get_cookie')
def get_cookie():
    user = request.cookies.get('user')
    return f'Hello, {user}!'

@app.route('/login')
def login():
    session['username'] = 'Bob'
    return 'Logged in successfully!'

@app.route('/profile')
def profile():
    if 'username' in session:
        username = session['username']
        return f'Welcome, {username}!'
    else:
        return 'Please log in first.'

@app.route('/logout')
def logout():
    session.pop('username', None)
    return 'Logged out successfully!'

if __name__ == '__main__':
    app.run(debug=True)