前几天在记录用户信息时用到了cookie,由于cookie在写用户信息时含有特殊字符@,由于需求明确要求用户名带有@,纠结了一番。其实有个最好的解决方案,就是通过URLEncode来进行编码,在客户端可以通过URLDecode进行解码,由于用此方案需要各个模块改的东西比较多,网站其它模块依赖用户中心写用户信息的api,此动作需要涉及其它部门协调修改,最终没有使用这个方案。最后从头开始对cookie研究了一番,首先介绍一下cookie的一些基本信息。
Cookie概念:
Cookie的格式实际上是一段纯文本信息, 由服务器随着网页一起发送到客户端, 并保存在客户端硬盘中指定的目录的. 大家都传说Cookie会造成严重的安全威胁什么的,
其实不是这么回事情. 服务器读取Cookie的时候, 只能够读取到这个服务器相关的信息.。
而且, 浏览器一般只允许存放300个Cookie, 每个站点最多存放20个, 而且, 每个Cookie的大小现在在4K, 根本不会占用多少空间。并且 Cookie是有时效性质的. 例如, 设置了Cookie的存活时间为1分钟, 则一分钟后这个Cookie就会被浏览器删除。
Cookie版本:
目前有两个版本:
版本0 : 由Netscape公司制定的,也被几乎所有的浏览器支持. Java中为了保持兼容性, 目前只支持到版本0, Cookie的内容中不能空格,方括号,圆括号,等于号(=),逗号,双引号,斜杠,问号,@符号,冒号,分号。
版本1 : 根据RFC 2109(http://www.ietf.org/rfc/rfc2109.txt)文档制定的. 放宽了很多限制. 上面所限制的字符都可以使用. 但为了保持兼容性, 应该尽量避免使用这些特殊字符。
由于线上运行的tomcat服务器的版本是6.0.29,在写入cookie后,发现含有特殊字符@的用户名自动被tomcat加了两个双引号,tomcat6.0.16版本以下的tomcat不会存在以上问题。
在反复纠结后最终决定在http的header里写入带有@的用户名,通过方法request.addHeader("set-Cookie","name=xxx;value=123@163.com;"),发现cookie确实被写成功了且没有双引号,但是通过request.getCookie*()获取cookie时发现读取
的信息的不全了,比如cookie的值是123@163.com 使用request.getCookies()获取cookie的值得到的是123,而@符号后面的就没了。在tomcattomcat6.0.16版本以下不存在上述问题,读写含有@的cookie信息时正常的。
于是看了大体看了一下tomcat关于cookie的处理。
我首先选择了tomcat6.0.29的源码。org.apache.tomcat.util.http.Cookies的定义了一个特殊字符常量。
public static final char[] SEPARATORS = { '\t', ' ', '"', '(', ')', ',', ':', ';', '<', '=', '>', '?', '@', '[', '\\', ']', '{', '}' };
org.apache.tomcat.util.http.ServerCookie定义了如下变量和方法判断是否是非法字符。
private static final String tspecials2 = "()<>@,;:\\\"/[]?={} \t";
public static boolean isToken2(String value, String literals) {
String tspecials2 = literals == null ? "()<>@,;:\\\"/[]?={} \t" : literals;
if (value == null) return true;
int len = value.length();
for (int i = 0; i < len; i++) {
char c = value.charAt(i);
if (tspecials2.indexOf(c) != -1)
return false;
}
return true;
}
再具体看一下tomcat6.0.14版本对cookie的特殊字符的处理。org.apache.tomcat.util.http.ServerCookie定义了如下方法判断是否是非法字符。
public static boolean isToken2(String value) {
if (value == null) return true;
int len = value.length();
for (int i = 0; i < len; i++) {
char c = value.charAt(i);
if ((c < ' ') || (c >= '') || (",; \"".indexOf(c) != -1))
return false;
}
return true;
}通过源码对比发现两个版本对cookie的特殊字符处理不同,导致了以上问题。所以在处理含有特殊字符的cookie时,最佳的解决方案是通过URL编码,js进行解码。
简要介绍一下js进行编码、解码通常的方法:
encodeURI() 函数可把字符串作为 URI 进行编码。该方法不会对 ASCII 字母和数字进行编码,也不会对这些 ASCII 标点符号进行编码: - _ . ! ~ * ' ( ) 。 该方法的目的是对 URI 进行完整的编码,因此对以下在 URI 中具有特殊含义的 ASCII 标点符号,encodeURI() 函数是不会进行转义的:;/?:@&=+$,#。如果 URI 组件中含有分隔符,比如 ? 和 #,则应当使用 encodeURIComponent() 方法分别对各组件进行编码,此方法的解码为decodeURI()。
escape() 函数可对字符串进行编码,这样就可以在所有的计算机上读取该字符串。该方法不会对 ASCII 字母和数字进行编码,也不会对下面这些 ASCII 标点符号进行编码: - _ . ! ~ * ' ( ) 。其他所有的字符都会被转义序列替换, 可以使用 unescape() 对 escape() 编码的字符串进行解码。
encodeURIComponent() 函数可把字符串作为 URI 组件进行编码。该方法不会对 ASCII 字母和数字进行编码,也不会对这些 ASCII 标点符号进行编码: - _ . ! ~ * ' ( ) 。 其他字符(比如 :;/?:@&=+$,# 这些用于分隔 URI 组件的标点符号),都是由一个或多个十六进制的转义序列替换的,此方法解码方式decodeURIComponent。
最好介绍一下cookie的生命周期,cookie的生命周期通常可以用cookie.setMaxAge(time)来的设定,time<0表示当前浏览器生效,time=0清除当前cookie,time>0表示当前cookie的
时间单位为秒。但是在不同的tomcat版本和浏览器会有不同的情况,当TOMCAT服务器是6.0.16及一下版本时,则不支持含有特殊符号的cookie值,这样的cookie存储在浏览器全部关闭就就会失效。
TOMCAT版本都是5.5,所以在IE下设置cookie值时,如果设置了version为1或者cookie中含有特殊符号,则存储的cookie不管是否设置了失效时间,都会在浏览器关闭后自动失效。
190
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
