重新认识session、cookie

最新推荐文章于 2023-01-23 06:05:57 发布
最新推荐文章于 2023-01-23 06:05:57 发布
阅读量151 收藏
点赞数
分类专栏: HTTP 文章标签: HTTP session cookie 前端 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cuandeqin2083/article/details/107329275
版权

title: session和cookie的理解
date: 2020-04-11 10:31:35
tags: [HTTP]
categories: [HTTP]
cover: /image/cover/http.png

曾经的我

cookie是浏览器中传输自带的; balabala…

session是存在服务端的; 存一些用户信息…balabala…

现在的我

从以下几个角度出发

一. http协议是无状态的;

当我们开发一些对状态有要求的接口时, cookie和session就可以弥补这一块的不足

  • 对于http协议, cookie只是请求头中的一个字段, 和别的字段并没有特别大的差别;
  • 浏览器对cookie做了默认的支持, 但是也限制了cookie; 比如同源策略;
    • 什么是同源策略?
      • 同源策略就是域名, 端口, 协议; 必须都相同才可以访问cookie的内容
    • 为什么要做同源策略?
      • 同源策略是浏览器基于安全的角度的一个机制, 限制了只有同域才可以访问cookie的内容

二.当我们要做单点登录sso功能的时候

  • 什么是单点登录和sso?
    • 单点登录(Single Sign On),简称为 SSO,是比较流行的企业业务整合的解决方案之一。
    • 最简单的例子就是, 我们是打开淘宝网的时候, 我们打开一个商品详情页有可能是是重新打开一个页面, 那我们刚刚登录的信息可能就消失了, 要是每次打开一个页面都需要登录那样会非常的麻烦
      • 这样时候, 就需要cookie的帮助了;我们可以考虑吧域名种在可以访问的域名下, 通常都是二级域名
        • 什么是一级, 二级, 三级…域名?
        • 举例: www.taobao.com
          • 一级域名是指com(又称顶级域名; 维基百科, 点我!!
          • 二级域名就是taobao
          • 所以三级域名就是www
      • 这样我们在淘宝这个域名底下的所有页面都可以畅通无阻
      • 但是也会面临信息泄露的危险
        • 虽然可以用时效来限制但是效果也不是很好
        • Secure Cookie机制
          • 设置了cookie只能在https上面传输不能在http上传输
          • 但是也不是万无一失, 因为还是可以在客户端, 进行读写的;
        • HTTPOnly属性
          • Cookie的HttpOnly属性,指浏览器不要在除HTTP(和 HTTPS)请求之外暴露Cookie。
          • 这样可以阻止非http的攻击, 如JavaScript
        • Same-Site属性
          • Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。
            • 主要是为了限制CSRF攻击
              • 什么是CSRF攻击?
                • 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。
              • 还可以用于跟踪用户信息, 比如在你的网站内部放入一个你看不见的
              • <img src="facebook.com" style="visibility:hidden;">
              • 这样就可以知道你访问了那些网站做一些相应的推荐
              • 那么有些同学就会联想到; 比如我在拼多多看了iPhone11; 再去看朋友圈很可能有就相应的推荐, 这些我个人猜测可能是pdd直接把你的信息卖给了腾讯, 或者做了交易(逃
            • 具体的三个值Strict; Lax; None;感兴趣的同学可以自己去查这里就不展开了
        • cookie又分为本地cookie和内存cookie
          • 本地cookie与内存cookie,区别在于cookie设置的expires字段。如果没有设置过期时间,就是内存cookie。随着浏览器的关闭而从内存中消失。
          • 还是一样都会泄露用户信息的风险
          • 哪怕是内存cookie攻击者可以设置时效使其成为本地cookie

三.session

session是服务器为web用户独立开辟的一个空间, 里面可以有用户一些信息等等

  • 如果是一个服务器可能还好, 但是如果是多个服务器或者说多层转发的话就会引发一个问题, session命中问题; 所以我们需要把信息存在MySQL或者Redis里面

四.token

除了session和cookie来辅助http这个无状态请求, 还有什么办法?

  • token
    • token分为很多种, 常见的有JWT, sessionId, mac地址等等
    • token可以存储在很多地方, 比如本地的localStorage或者sessionStorage, 然后在请求头中携带

五.sessionStorage

刚刚说到sessionStorage; 下面来说说我碰到的一个问题

  • sessionStorage如果打开一个新标签页, 他的sessionStorage是否共享?
  • 大家先想想再看答案

以前的我以为是可以共享的.其实是半错半对的

为什么这么说?

MDN是这么说的

…data stored in sessionStorage gets cleared when the page session ends…Opening a page in a new tab or window will cause a new session to be initiated, which differs from how session cookies work.

大家可以做一个实验

  1. 在浏览器中打开这个 index.html,我们称之为标签页 A。注意:需要用 http 协议打开!例如 http://localhost/index.html
  2. 点击页面上的链接,此时会弹出来标签页 B。
  3. 在标签页 B 中打开控制台并执行 sessionStorage.getItem('j'),得到 's'
  4. 新建一个新标签页 D,然后在地址栏内输入 http://localhost/index.html 打开同样的页面, 然后执行 sessionStorage.getItem('j')

按照我的预期,标签页 D 得到的应该还是 's',毕竟我认为 sessionStorage 的数据是在同一网站的多个标签页之间共享的。但是我错了,得到的结果是 null

细心的同学可能已经发现了

细心的同学可能已经发现了,标签页 B 和标签页 D 之间唯一的不同就是它们被打开的方式:标签页 B 是通过在标签页 A 中点击链接打开的,但标签页 D 是在浏览器地址栏输入地址打开的。

所以现在我明白了:通过点击链接(或者用了 window.open)打开的新标签页之间是属于同一个 session 的,但新开一个标签页总是会初始化一个新的 session,即使网站是一样的,它们也不属于同一个 session。

欢迎大家关注我的公众号:前端成长指南
我会把我的原创作品陆续放在上面

帅气kkkk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
怎样巧用cookies来获取拼多多商品图片并保存
h60261333的博客
09-24 1567
大家都知晓拼多多为手机端商品,那么要怎样可以顺利把其平台上的商品主图及详情图同时下载到电脑并保存?下面小编利用cookies教大家顺手就下载到拼多多上的商品主图及视频。 在实例操作之前,先带大伙来看一下利用载图助手,然后通过复制cookies下载到的商品图效果。 主图视频与保存在主图同个文件夹里 实例操作开始,需要先把商品链接复制到电脑浏览器上打开,这时会出现需要用手机号验证进入平台。 然后在右上角打开菜单键,然后工具,再击选择开发者工具,右边会跳出一个临时对话框, ...
易语言-拼多多直播cookie获取发言
06-26
拼多多直播cookie获取发言源码
拼多多读取客户端工作台Cookie
最新发布
诺离
01-23 1838
这里提前知道了拼多多商家版cookie是PASS_ID属性,我通过Xsearch搜索工作台缓存目录的pass_id关键字并没有找到有用的内容,所以这里我选择了直接操作进程内存进行获取。business是自己单独写的一个类,这里用来简单判断这个cookie是否在线,如果在线则跳出来。因为它是以window开头,搜索的长度尽量长一点,这样结果就不会太多且容易精准。通过易语言精易模块的内存搜索功能,搜索关键字:PASS_ID=window。最后就能轻松拿到cookie啦!
河鱼浏览器,拼多多多开试用浏览器
11-20
河鱼浏览器,拼多多多开试用浏览器,一个星期的试用期
拼多多商品信息爬取
热门推荐
downdawn
02-28 4万+
拼多多商品信息爬取 爬取完几个主流电商平台的信息,今天想着也去攻克一下拼多多。于是先去GitHub上面找一下有没有哪位大神搞过了借鉴一下,然后果然发现一个好用的接口。 想着既然找到了就先下载下来跑一下,嗯。。。“热门”的感觉可以,应该很简单。然后就兴高采烈地扩展一下别的商品种类,果然很多坑。。 一、思路分析 经过谷歌F12工具一番分析,总结一下爬取思路: 1、“热门”商品比较特殊,其他商品种类有...
对比分析php中CookieSession的异同
10-22
首先,我们来认识一下CookieCookie是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。Cookie机制的优点是简便易用,可以有效地保存用户的状态...
认识session
04-01
标题:认识session 描述:session深层认识,多种用法在浏览器与服务器之间的纽带。 ### Session的概念及作用 Session是Web开发中的一个重要概念,用于在浏览器和服务器之间建立一种持久性的连接,使得用户在多页面...
ASP.NET Session的七点认识小结
10-28
每次用户对Web应用程序进行请求时,都会生成一个唯一的SessionID作为标识符,通过Cookie或者URL传递给服务器,从而允许服务器能够识别不同用户的请求。 2. Session中值类型与引用类型的存储差异: - 对于值类型的...
HTML5 Web缓存和运用程序缓存(cookie,session)
01-19
在介绍HTML5 web缓存前,来认识一下cookiesessionsession: 由于HTTP是无状态的,你是谁?你干了什么?抱歉服务器都是不知道的。 因此session(会话)出现了,它会在服务器上存储用户信息以便将来使用(比如...
ASP.NET Session的七点认识
07-27
### ASP.NET Session的七点认识 #### 一、ASP.NET Session概述 ASP.NET Session是Web应用程序中用于在用户的会话期间存储用户特定信息的一种机制。它允许开发人员跨多个页面请求存储和检索用户数据,从而提供了更...
拼多多系列加密crawlerInfo、screen_token、anti_content参数
qian123shuai的博客
05-02 1万+
只说下思路吧,毕竟把加密代码公开对别网站不好。如有权益问题可以发私信联系我删除,或q:1847858794 如图 ,我见过拼多多所有系列都是用的同一套加密方式,有个0a开头。加密是他自己写的一套加密方式,涉及到的加密参数有:鼠标点击位置、href、ua、cookie和时间戳。 加密位置在如图所示地方: 稍微混淆了下,找到加密位置就是去慢慢调试js了,这需要多掌握些js知识...
python接口自动化cookie绕过验证码登录实战
weixin_42256585的博客
04-29 729
掌握了使用python进行get和post请求后,这一篇学习python接口自动化cookie绕过验证码登录 有些功能是必须登录后才能操作,比如博客园“新随笔”的编写及提交。 抓包 操作步骤:登录博客园,然后对“新随笔”的编写,最后点击“保存草稿”按钮对这个操作进行抓包,主要查看请求头部、cookie的值,还有参数的传输格式。 抓包查看数据: 首先说下我是学习了北京宏哥的博客,很详细,在这里...
拼多多系列加密crawlerInfo、screen_token、anti_content
liweiminlining的专栏
03-27 3136
我见过拼多多所有系列都是用的同一套加密方式,有个0a开头。加密是他自己写的一套加密方式,涉及到的加密参数有:鼠标点击位置、href、ua、cookie和时间戳。 加密位置在如图所示地方: 稍微混淆了下,找到加密位置就是去慢慢调试js了,这需要多掌握些js知识才能搞定,扣的js还挺多,2000多行,其中var c = o[t[u......这里用的是gzip压缩算法。难也不算难,就是扣j...
Cookie
stupid_Qiu的博客
11-22 161
                                     Cookie Cookie是什么?  1)完成会话跟踪的一种机制,采用的是在客户端保持Http状态信息的方案  2)Cookie是在浏览器访问WEB服务器的某个资源时,由WEB服务器在Http响应消息头中附带传送给浏览器的一个小的文本文件。  3)一旦WEB浏览器保存了某个Cookie,那么它以后每次访问该WEB服务器...
拼多多token是什么?如何提取及写入?
q85913323的博客
11-07 2万+
拼多多token是什么?如何提取及写入?什么是TOKEN?TOKEN定义TOKEN的种类TOKEN的提取 - 抓包TOKEN提取 - 接口TOKEN的权重衡量TOKEN的写入TOKEN无DSR,热度,指数?总结 什么是TOKEN? 近期几年接触到电商运营,无非离不开2个字,那就是刷单,刚踏入这行才知道,大部分的销量、评价、DSR、热度、指数等等数据前期基本都是靠刷起来的。 那么在电商刷单领域里,都和token离不开,token是什么呢? TOKEN定义 在API开发中,token一般称作用户的令牌,就犹如你
cookie--读、写方法包装
qq_29590623的博客
02-18 586
let cookie = {}; /** * set * @param {*存储的属性值} key * @param {*存储的值} value * @param {*存储时间/ms} expires */ cookie.setitem = function (key, value, expires) { if (value) { expires = expires ?...
好好了解一下Cookie(强烈推荐)
qq_41624560的博客
05-27 188
https://blog.csdn.net/zhangquan_zone/article/details/77627899
[转]sessionStorage在同一网站多个标签页内共享数据吗?这取决于标签页如何打开
随风丶逆风的博客
10-23 1万+
文章转载自:https://github.com/lmk123/blog/issues/66 ------------------------------------------------------- 一直以来,我所以为的sessionStorage的生命周期是这样的:在 sessionStorage 中存储的数据会在当前浏览器的同一网站的多个标签页中共享,并在此网站的最后一个标签页被...
"实现PHP Session共享与Cookie管理的案例分析
本文主要讨论了SessionCookie、部署memcached、Session共享等相关主题,并以PHP的本地Session信息为案例展开讨论。 首先,在案例1中,我们通过Nginx调度器负载后端两台Web服务器的部署,实现了Nginx前台调度...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值