cookie

1.什么是cookie：cookie是一个很小的文本文件，是浏览器储存在用户的机器上的。Cookie是纯文本，没有可执行代码。储存一些服务器需要的信息，每次请求站点，会发送相应的cookie，这些cookie可以用来辨别用户身份信息等作用。

2.cookie类型：会话cookie和持久cookie。会话cookie是一种临时cookie，用户退出浏览器，会话Cookie就会被删除了，持久cookie则会储存在硬盘里，保留时间更长，关闭浏览器，重启电脑，它依然存在，通常是持久性的cookie会维护某一个用户周期性访问服务器的配置文件或者登录信息。

3.cookie的域：产生Cookie的服务器可以向set-Cookie响应首部添加一个Domain属性来控制哪些站点可以看到那个cookie

4.cookie的路径 Path：Path属性可以为服务器特定文档指定Cookie，这个属性设置的url且带有这个前缀的url路径都是有效的。

5.secure：设置了属性secure，cookie只有在https协议加密情况下才会发送给服务端。但是这并不是最安全的，由于其固有的不安全性，敏感信息也是不应该通过cookie传输的.

6.操作Cookie：通过docuemnt.cookie可以设置和获取Cookie的值

cookie的生存时间

cookie.setMaxAge(int seconds)：cookie的保存时间seconds>0：浏览器会将cookie保存在硬盘上，超过指定时间会删除该cookieseconds<0：缺省值，只将cookie保存在内存中，只要浏览器不关闭，cookie就一致保存，浏览器一旦关闭，cookie就会被清空。seconds=0：立即删除cookie，如要删除一个叫userID的cookie，那么可以这么做：Cookiec = new Cookie("userID","");c.setMaxAge(0);response.addCookie(c);

安全

多数网站使用cookie作为用户会话的唯一标识，因为其他的方法具有限制和漏洞。如果一个网站使用cookies作为会话标识符，攻击者可以通过窃取一套用户的cookies来冒充用户的请求。从服务器的角度，它是没法分辨用户和攻击者的，因为用户和攻击者拥有相同的身份验证。

cookie的限制

（1）cookie可以被用户禁止

（2）cookie不完全，敏感数据，比如密码、账号等需要加密。

（3）cookie的大小有限制，大约为4K左右

（4）cookie的个数也有限制，大约是300个左右

（5）每个站点最多保存20个cookief、cookie只能够保存字符串。

 

转载于:https://www.cnblogs.com/hhhkai/p/10634794.html