本文详细介绍了HTTP Cookie的用途、创建过程、分类、Secure和HttpOnly属性,以及与Session的对比。Cookie常用于会话状态管理、个性化设置和行为跟踪,而Session则提供了在服务器端存储用户信息的安全方式。在安全实践中,应注意设置Secure和HttpOnly标志以增强Cookie的安全性,并合理选择Cookie和Session的使用场景。
我的–Cookie总结
Http协议是无状态的,主要是为了让HTTP协议尽可能简单,使得它能够处理大量事务。HTTP/1.1引入Cookie来保存状态信息
Cookie是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上,通常,它用于告知服务器两个请求是否来自于同一个浏览器。如保持用户的登陆状态。
一、用途
1.会话状态管理(如用户登陆状态、游戏分数或者其他需要记录的信息)
2.个性化设置(如用户自定义设置、主题等)
3.浏览器行为跟踪(跟踪分析用户行为)
二、创建过程
服务器发送的响应报文包含Set-Cookie首部字段,客户端得到响应报文后把Cookie内容保存到本地。
客户端之后对同一个服务器发送请求时,会从浏览器中读出 Cookie 信息通过 Cookie 请求首部字段发送给服务器。
三、分类
1.会话期 Cookie:浏览器关闭之后它会被自动删除,也就是说它仅在会话期内有效。
2.持久性 Cookie:指定一个特定的过期时间(Expires)或有效期(Max-Age)之后就成为了持久性的 Cookie。
四、Secure 和 HttpOnly
1.标记为 Secure 的 Cookie 只应通过被 HTTPS 协议加密过的请求发送给服务端。但即便设置了 Secure 标记,敏感信息也不应该通过 Cookie 传输,因为 Cookie 有其固有的不安全性ÿ
最低0.47元/天 解锁文章
792
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
