HTTP报头中为cookie服务的首部字段

Cookie的工作机制是用户识别和状态管理。Web网站为了管理用户的状态,会通过Web服务器,把一些数据临时写入用户的计算机内。当用户访问该Web网站时,可通过通信方式取回之前存放的Cookie。调用Cookie是,由于可校验Cookie的有效期,,以及发送方的域、路径、协议等,所以正规发布的Cookie内的数据不会因为来自其他Web站点和攻击者的攻击而泄漏。
Set-Cookie字段的属性

属性 说明
NAME= VALUE 赋予Cookie的名称和其值(必须项)
expires = DATA Cookie的有效期(若没有明确指定,则默认到浏览器关闭为止),一旦Cookie从服务器发送至客户端,服务器就不存在可以显示删除Cookie的方法。但可以通过覆盖已过期的Cookie,实现对客户端Cookie的实质性删除操作。
path=PATH 将服务器上的文件目录组委Cookie的适用对象(若不指定则默认为文档所在的文件目录)
domain = 域名 作为Cookie使用对象的域名(若不指定则默认为创建Cookie的服务器域名),通过domain属性指定的域名可做到与结尾匹配一致。除了针对具体指定的多个域名发送Cookie外,不指定domain属性显得更安全。
Secure 仅在HTTPS安全通信时才发送Cookie。当没有指定Secure时,无论是HTTP还是HTTPS都会对Cookie进行回收。
HttpOnly 加以限制,使Cookie不能被JavaScript脚本访问。加上HttpOnly属性后,通常从Web网页内还可以对Cookie进行读取操作,但使用JavaScript的document.Cookie就无法读取附加HttpOnly属性后的Cookie的内容了。也就无法再XSS中那个利用JavaScript劫持Cookie了。

首部字段Cookie会告知服务器,当客户端想获得HTTP状态管理支持时,就会在请求中包含从服务器接收到的Cookie。接收到多个Cookie时,同样可以以过个Cookie形式发送。

展开阅读全文

没有更多推荐了,返回首页