关于 Cookie 的那些事儿

最新推荐文章于 2022-09-23 10:39:11 发布
最新推荐文章于 2022-09-23 10:39:11 发布
阅读量206 收藏
点赞数
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/imba_09/article/details/113705340
版权

关于 Cookie 的那些事儿

带着问题去学习:

  • 什么是 Cookie?
  • Cookie的作用?
  • Cookie 的工作机制?
  • Cookie 的使用场景?
  • 后端处理 Cookie 实战

1、什么是Cookie?

  • 服务端向客服端写入的信息片段,用于保存客户端的状态,为 key-value 键值对的格式。因为 HTTP 是无状态协议,即服务器无法判断客户端的身份(是否为同一浏览器),所以需要 Cookie 来保存客户端的信息。
  • 比如:使用门禁卡进入公司的大门,卡就相当于 Cookie。这里就存在一个问题,门禁卡被别人捡到了,别人就可以冒充你,刷卡进入公司,所以存放在客户端的 Cookie 存在安全隐患,用户的重要信息不能明文放到Cookie中。

一些专业名词:

  • 种 Cookie:,将 Cookie 写到浏览器中,之后每次请求都会带上Cookie
  • 域名:域名由两组或两组以上的ASCII或各国语言字符构成,各组字符间由点号分隔开,最右边的字符组称为顶级域名或一级域名、倒数第二组称为二级域名、倒数第三组称为三级域名。
  • 跨域名:域名不同。

RFC 6265 制定了 HTTP Cookie 和 Set-Cookie 的属性头,HTTP 服务器能够利用 Set-Cookie 的属性头来存储 HTTP 客户端的状态(状态就是Cookie),虽然存在隐私泄露和安全问题,但是Cookie 和 Set-Cookie header 仍然在互联网广泛应用。

种 Cookie 应该遵守的规范:

  • 在多个 Set-Cookie 的字符串中,cookie 的名称不应该重复。
  • 一个 Set-Cookie 只能设置一个 Cookie,当你要想设置多个 cookie,需要添加同样多的set-Cookie字段。

Cookie的属性:

  • name:key-value 键值对
  • expire:失效日期
  • domain:域名,默认值为该网页所在的域名,必须包含两个点。
  • path:路径,默认值为该网页所在路径。domain + path = URL
  • security:设置cookie只在确保安全的请求中才会发送
  • http-only:来设置cookie是否能通过 js 去访问
  • max-age:设置过多久过期

其中 name=value 是必填项,其他是可选项。

Set-Cookie: "name=value;domain=.domain.com;path=/;expires=Sat, 11 Jun 2016 11:29:42 GMT;HttpOnly;secure"

3、Cookie 的工作机制

服务端使用 Set-Cookie header ,浏览器(User agent,客户端)接收到请求后,会根据 Set-Cookie header 的内容设置 Cookie,如下图所示:

  • step 1:浏览器对服务器发起HTTP请求
  • step 2: 服务器在响应中设置了 Set-Cookie header,以让浏览器设置Cookie
  • step3 : 浏览器根据 Set-Cookie header 中的内容设置 Cookie:SID=31d4d96e407aad42
  • step4 : 浏览器下次请求该服务器时会带上 Cookie(Cookie设置的域名要一致时才带上)
    浏览器和服务端交互

4、Cookie 的特点及使用场景

Cookie 的特点:

  • 生命周期:若设置了过期时间,以过期时间为准;若没有设置,则关闭浏览器就失效。
  • 大小:限制为4K
  • 数量限制:20个(部分浏览器不遵循这个规则)
  • 访问相同的域名路径时都会带上Cookie,占用带宽。
  • 作用范围:同一域名下。

一个网页所创建的 cookie 只能被与这个网页在同一目录或子目录下得所有网页访问,而不能被其他目录下得网页访问。

在域名 foo.example.com 可以设置 Domain 为 example.com 或者 foo.example.com,浏览器会拒绝设置 Domain 为 bar.example.com 或者 baz.foo.example.com 的 Cookie。出于安全考虑,浏览器会拒绝设置公共前缀(比如 com 等)的 Cookie。Cookie是不可以跨域名的,隐私安全机制禁止网站非法获取其他网站的 Cookie。

使用场景:

  • 保存用户的信息(购物车,登录信息,搜索记录,自动登录)

5、后端处理Cookie

利用过滤器获取 cookie,保存到会话中 AccountSession 中:随要随取。

/**
 * 账户会话管理
 */
public class AccountManager {
    // ThreadLocal 保证sessions只属于本次会话
	private static ThreadLocal<AccountSession> sessions = new ThreadLocal<AccountSession>();
	
	public static void put(AccountSession session) {
		sessions.set(session);
	}
	
    /* 获取session */
	public static AccountSession get() {
		return sessions.get();
	}
	/* 清空session */
	public static void clear() {
		sessions.remove();
	}
}

服务端设置Cookie

  • 设置新的cookie
    /**
     * 种 cookie
     * @param httpServletRequest  请求
     * @param httpServletResponse 响应
     * @param token               cookie内容
     */
    public void addCookie(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, String value, String domain) {
     	// 创建一个cookie
        Cookie cookie = new Cookie("alibaba", value);
        // 设置域名
        cookie.setDomain(domain);
        // 设置路径
        cookie.setPath("/");
        // 设置超时时间,单位秒
        cookie.setMaxAge(10000);
        // 写入 cookie
        httpServletResponse.addCookie(cookie);
    }

Cookie 以键值对的形式放在请求中,服务端中 Cookie 以数组的形式存放在 HttpServletRequest 中:
注意,因为是数组,所以允许 Cookie 重复。

Cookie[] cookies = httpServletRequest.getCookies()

设置Cookie时,获取 Domain 域名或者路径:
方法一:new URL("www.baidu.com").getHost();
方法二:httpServletRequest.getServerName();
方法三:利用正则表达式,获取。

    /* 用正则表达式进行判断 */
    private boolean isIPAddressByRegex(String str) {
        String regex = "\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}\\.\\d{1,3}";
        // 判断ip地址是否与正则表达式匹配
        if (str.matches(regex)) {
            String[] arr = str.split("\\.");
            for (int i = 0; i < 4; i++) {
                int temp = Integer.parseInt(arr[i]);
                //如果某个数字不是0到255之间的数 就返回false
                if (temp < 0 || temp > 255) {
                    return false;
                }
            }
            return true;
        } else {
            return false;
        }
    }
    /**
     * 获取cookies可访问的域名,注意第一个字符必须为“.”
     * @param httpServletRequest
     * @return
     */
    private String getCookieDomain(HttpServletRequest httpServletRequest) {
        String domain = httpServletRequest.getServerName();
        if (isIPAddressByRegex(domain)) {
            domain = httpServletRequest.getHeader("x-forwarded-host");
        }
        int pos = domain.indexOf(".");
        if (pos != -1) {
            // 获取第一个点之后的内容
            return domain.substring(pos + 1);
        } else {
            return domain;
        }
    }

注:在客户端(浏览器)中的控制台上,通过命令 document.cookie 可以查询 Cookie 和设置 Cookie

URL重写的技术

既然不同域名 Cookie 种不上,那么如何传递在不同域名之间传递用户Cookie信息呢?

  • 可以将 Cookie 放在地址栏上,从A域名重定向到B域名,这样B域名的服务就能获取到了用户信息。
  • 但这样做不太安全,用户在地址栏上就能拿到 Cookie 信息,当用户把地址分享给其他人的时候,相当于把自己家门的钥匙递给了其他人。

6、参考文献

RFC 6265 : https://datatracker.ietf.org/doc/rfc6265
浅谈Cookie跨域解决方案:https://blog.csdn.net/wangyucui123/article/details/81038840
不同域名下的Cookie共享:https://blog.csdn.net/qq_43392346/article/details/113430252
协议介绍:https://www.cnblogs.com/sunzhenchao/p/3897890.html
聊一聊Cookie:https://segmentfault.com/a/1190000004556040
深入浅出Cookie :https://www.cloudxns.net/Support/detail/id/1887.html

turato
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
COOKIE安全与防护
cheeseandcake的博客
05-28 1万+
目     录   摘要 关键词 一、 引言  二、 COOKIE概述  三、 COOKIE安全分析  四、 COOKIE惯性思维  五、 COOKIE防护  六、 总结  七、 参考文献: 15 摘要:Cookie是一小段文本信息,只能保存字符串,伴随着用户请求和页面在Web服务器和浏览器间传递,用来保持Web中的回话状态和缓存信息,记录用户的状态。Cooki
浅析cookie和session
IT修真院:初学者转行到互联网的聚集地
05-25 232
这里是修真院后端小课堂,每篇分享文从 【背景介绍】【知识剖析】【常见问题】【解决方案】【编码实战】【扩展思考】【更多讨论】【参考文献】 八个方面深度解析后端知识/技能,本篇分享的是: 【浅析cookie和session 】 今天给大家分享一下,修真院官网JAVA任务五,深度思考中的知识点——cookie和session 1.背景介绍 会话(Session)跟踪是Web程序中常用的技...
关于Cookie的问题总结
u013455430的专栏
03-20 372
能够存储的数据结构到底有哪些? 浏览器端:cookie,WebStorage(localStorage,sessionStorage),userData,indexedDB 服务器端 : session 什么是cookie?它存放在哪? 维基上给出的解释是:Cookie(复数形态Cookies),又称为“小甜饼”。类型为“小型文本文件”,指某些网站为了辨别用户身份而储存在用户本地终端(Cl...
Cookie
杨森源的博客
04-04 2410
了解Cookie Cookie是在HTTP协议下,将服务器传递给浏览器的少量数据保存到用户浏览器的一种方式。通过这种方式,即使在浏览器被关闭和连接中断的情况下,用户仍然可以维护状态数据。 更确切的说,Cookie是保存在用户硬盘上的由字符串组成的小文本文件。 在Cookies文件夹下,每个Cookie文件都是一个简单而又普通的文本文件,而不是程序。Cookies中的内容大多经过了加密处理,因
cookie的domain实战
webbc的博客
06-05 4177
setcookie方法bool setcookie ( string $name [, string $value [, int $expire = 0 [, string $path [, string $domain [, bool $secure = false [, bool $httponly = false ]]]]]] )在setcookie方法中,第5个参数是domain参数,通过这
前端关于cookie那些事儿
秋来九月八
09-23 943
主域名不同的cookie是不能数据共享的,但一级域名相同,子域名不同的却可以。 比如 csdn.net 和 blog.csdn.net 和 dengxi.csdn.net 这三种domain的cookie在dengxi.csdn.net这个网站都能拿到。
关于HTTP Cookie那些事儿
lynnhgwang的博客
09-30 156
文章目录Cookie的定义和作用:Cookie的创建:Cookie的生命周期:Cookie的所有属性:参考链接: Cookie的定义和作用: Cookie 是服务端发送到客户端浏览器并保存在本地的一小块数据,它会被客户端浏览器在下次向同一服务端发请求时携带并发送到服务端。 Cookie通常用于告知服务端两个请求是否来自于同一客户端浏览器。 Cookie主要用于三个方面: 会话状态管理(如用户登录状态、购物车、游戏分数或其它需要记录的信息) 个性化设置(如用户自定义设置、主题等) 浏览器行为跟踪(如跟踪
session和cookie那些事儿
weixin_44988779的博客
09-05 207
昨晚做完b站的笔试,不得不说一句,“bilibili,年轻人秋招笔试信心加油站!”。中间遇到一道关于session和cookie的问题,发现自己在这点上有知识点遗漏,所以借着博客总结一下吧。 session和cookie出现的原因 因为由于http是无状态,在服务器响应完毕以后,服务端和客户端的连接就断开了,这个过程称为一次会话结束,但有些场景,比如要进行登录记住密码或者多长时间免登录之类的,这时就要用的session和cookie;就是为了让服务器认识你是谁。 cookie和session的工作原理 co
Javascript中关于cookie的那些事儿
程宇寒
05-23 627
Javascript-cookie什么是cookie?指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)。简单点来说就是:浏览器缓存。cookie由什么组成?  Cookie的形式: Cookie是由name=value形式成对存在的,Cookie字符串必须以分号作为结束符,Cookie除了name属性之外还存在其他4个相关属性。   设置Cookie的...
Java中Cookie和Session的那些事儿
09-01
Cookie和Session都是为了保持用户的访问状态,一方面为了方便业务实现,另一方面为了简化服务端的程序设计。这篇文章主要介绍了java中cookie和session的知识,需要的朋友可以参考下
关于Cookie有效期.txt
01-15
关于Cookie有效期.txt
iOS中关于Cookie验证登录状态
08-30
主要介绍了iOS中关于Cookie验证登录状态的相关资料,需要的朋友可以参考下
关于COOKIE个数与大小的问题
01-19
今天有同事又问起关于cookie的问题,我就到网上查询了一下做了一些相关的摘要记录下来,以备不时之用。关于cookie的操作,做为JS程序员应该是相对熟悉一些的,所以就不对它进行过多的说明了。  以下就是关于各...
关于cookie
12-02
ppt介绍了cookie的基本知识,cookie欺骗产生的原理,跨站脚本攻击盗取Cookie,以及Cookie的安全对策
MySQL存储Java对象
IMBA_09的博客
11-08 3826
1、存储Java对象的方法 下面有三种方式,可以存储Java对象。 1、将Java对象中的每一个字段都存入表中。 优点:每个字段都可以被检索 缺点:针对每个需要存储的对象,都要创建数据表。一个类对应一张表 2、将Java对象序列化之后,存入Blob字段或者Text。 优点:可以存储超大的对象,并且没有大小限制 缺点:Blob数据类型的缺点,检索上存在问题 3、保存为JSON字符串,使用VARCHAR数据类型存储 优点:可以存储完整的对象,反序列化也很方便。 缺点:不方便检索内容,需要提前估计
VIM:我的GVIM设置(通用设置和编程语言设置)
IMBA_09的博客
09-29 2210
主要内容: 1,设置按F5编译java,c语言,c++等语言源代码 2,设置用4个空格代替tab进行缩进 3,取消备份文件 前言: 为了在linux环境下熟悉VIM,我在windows环境下安装了GVIM8 修改vimrc文件可以更改VIM默认的设置,不需要每一次打开VIM就需要重新调整设置。 以下时vimrc的全部内容: ...
windows命令行下构建java项目
IMBA_09的博客
03-17 718
什么是package? 请自行百度。 如何构建一个Java项目? java项目结构: 下面来创建一个项目名为java的项目: 该项目的文件结构如下: 第一步创建项目文件目录 //创建项目文件夹 mkdir java //进入项目目录 cd java //创建源代码目录 mkdir src //创建class文件目录 mkdir c...
手写一个简单的 Redis 客户端
IMBA_09的博客
05-29 664
RESP 协议 RESP 协议,全称 Redis 序列化协议(Redis Serialization Protocol) 是 Redis 客户端和服务器用来通信的文本协议,其特点是简单直观。优势在于实现简单,解析性能好。 ​ 五种基本的Redis协议数据结构的最小单元类型:每个单元类型以【/r/n】结尾 单行字符串 以【+】开头,+OK\r\n表示字符串OK 多行字符串 以【$】开头,后面是字符串长度。 数值 以【:】开头,后面是整数字符串,:10086表示数值10086 错误信息 以【-】开头,
写一段关于获取cookie的代码
最新发布
03-25
以下是获取 cookie 的 Python 代码示例: ```python import requests # 向服务器发送请求,获取 cookie response = requests.get("https://www.example.com/login") cookie = response.cookies.get_dict() ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值