Cookie原理、Set-Cookie常用字段、应用

最新推荐文章于 2024-05-08 01:14:47 发布
最新推荐文章于 2024-05-08 01:14:47 发布
阅读量2.1w 收藏 65
点赞数 15
分类专栏: HTTP协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangshangchunjiezi/article/details/104433135
版权

目录

一、保持网络状态

  • HTTP是无状态协议,它不对之前发生的请求和响应的状态进行管理。也就是说,无法根据之前的状态进行本次的请求处理。
    比如登录后页面跳转为了保持登录状态可以用两种方式记录状态①每次跳转都要再次登录(无法接受)②在请求报文中附加参数来管理登录状态。(cookie由此而来)

二、cookie的状态管理

1576215292(1)

  • 从图可以看出,cookie是服务端生成,保存在客户端。
    1576202805(1)

当服务端收到浏览器发送的用户ID时,就知道(通过读取cookie中字段,来进行身份鉴别)此次请求来自一个已经登录的用户。在以上的交互过程中,保持在客户端的用户ID就被称为cookie。

三、字段

  • 请求头对应Cookie字段、响应头对应Set-Cookie字段

1576202237(1)
Set-Cookie:value [ ;expires=date][ ;domain=domain][ ;path=path][ ;secure]

value:一般是键值对

expires:表示会在xxx时间之后失效(浏览器不会再发送给服务器),对于失效cookie浏览器会清空(也不是显式删除,是别的cookie覆盖此cookie,从而实现旧cookie删除)

public void setMaxAge(int expiry)
Sets the maximum age in seconds for this Cookie.

//正数:会保存到cookie文件中,不论关闭浏览器或关闭电脑,直到时间到才会过期。
A positive value indicates that the cookie will expire after that many seconds have passed.
Note that the value is the maximum age when the cookie will expire, not the cookie's current age.

//负数(会话cookie),表示此cookie只是存储在浏览器内存里,只要关闭浏览器,此cookie就会消失。
maxAge默认值为-1。
A negative value means that the cookie is not stored persistently and will be deleted when the Web browser exits. 
A zero value causes the cookie to be deleted.

Parameters:
expiry - an integer specifying the maximum age of the cookie in seconds; if negative, means the cookie is not stored; if zero, deletes the cookie

domain:默认是主机名,只有对相同的主机名发出请求时发出此cookie。像Yahoo,有很多格式是name.yahoo.com(比如my.yahoo.com,finance.yahoo.com),一般是有其中一个网站的cookie,其他的网站均能访问,通过设置.yahoo.com(从而实现了子域访问)。浏览器尾部比对规则:将.yahoo.com与发出请求的host尾部进行比对。若匹配,则发送相应的cookie。若不设置,则是yahoo.com,其子域是不能访问的。
一般所说的不可跨域是指二级域名层次,比如.yahoo.com和.baidu.com。
有"dot",是历史原因,若后端代码不写dot,response时会加上。

------------默认,不可访问子域----------------------
// at site.com
document.cookie = "user=John"

// at forum.site.com
alert(document.cookie); // no user

------------设置,可访问子域----------------------
// at site.com
// make the cookie accessible on any subdomain *.site.com:
document.cookie = "user=John; domain=site.com"

// later

// at forum.site.com
alert(document.cookie); // has cookie user=John

path:若path=/admin,则页面/admin和/admin/sth是可以访问的(当前及子域),而/home、/adminpage是不能访问的;通常设置为path=/,让网站的所有页面均可以访问。若不设置,默认是 /项目名称/当前路径的上一层地址
比如http://localhost/day07_03/AServlet时,服务器响应了一个Cookie,那么这个Cookie的默认路径就是/day07_03/。

假设你的浏览器当前已经有了两个Cookie:

c1:name=id; value=itcast; path=/day07_03/
c2:name=name; value=qdmmy6; path=/day07_03/servlet/
 
当访问http://localhost/day07_03/*时,请求头中会包含c1,而不会包含c2。
当访问http://localhost/day07_03/servlet/*时,请求头中会包含c1和c2。
也就是说,在访问子路径时,会包含其父路径的Cookie,而在访问父路径时,不包含子路径的Cookie。

在这里插入图片描述
如果你想在BServlet中设置的Cookie,在客户端访问AServlet时也包含在请求头中,那么就需要设置BServlet中的Cookie的path:

c2.setPath(“/day07_03/”):硬编码;
c2.setPath(request.getContextpath() + “/”):活编码。

这样就可以设置Cookie的路径,保存在访问AServlet时,也会包含BServlet中添加的Cookie。

注意:只有domain一致,才会比对path
domain+path组成了URL。

secure:默认情况下,在http://site.com下设置cookie,在https://site.com也是可以使用的,反之亦然。也就是说cookie是domain-based,与协议无关。对于敏感内容不能通过未加密的http发送的,则应该设置secure,从而在https://site.com发送cookie,在http://site.com不发送cookie

  • 当不写expires时,其有效期就是浏览器内存,浏览器关闭则消失。
  • 存储在硬盘中cookie可以在不同的浏览器间共享,比如火狐、IE;而基于内存的,只在当前浏览器有效,换相同的浏览器也不行
  • 当cookie从服务端发送给客户端后,服务端不存在显式删除cookie的方法。但是当它过期了,用户重新登录,则会覆盖之前的cookie。从而对客户端的cookie实质性的删除。

四、Cookie的用途

  • 记录用户登录状态
  • 购物车
    1576204837(1)
  • 将cookie保存在客户端,容易随着用户的操作导致cookie丢失或者被窃取。因此不安全!
    因此, Cookie中适合存储对安全性要求不高,但是需要长时间保存的数据。

五、Cookie代码(保存登录信息)

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <title>My JSP 'login.jsp' starting page</title>
</head>

<body>

This is my JSP page. <br>
<form action="login" method="post" >
  username:<input type="text" name="username" id="un"><br>
  password:<input type="password" name="pwd" id="pw"><br>
    <input type="submit" value="sign in"/>
</form>
</body>
</html>

public class HelloWorld extends HttpServlet {
 protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws 
 ServletException, IOException {
        String username = req.getParameter("username");
        System.out.println(username);
            Cookie un_cookie = new Cookie("username", username);
            un_cookie.setMaxAge(100);
            //un_cookie.setPath("/Cookie_learn_war_exploded");
//虽然只是在这里添加了cookie,但根据path+domain,只要符合要求的jsp页面均可以用此cookie
            resp.addCookie(un_cookie);
            resp.sendRedirect("success.jsp");
    }

success.jsp:
<%
  String path = request.getContextPath();
  String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <base href="<%=basePath%>">
  <title>My JSP 'login.jsp' starting page</title>

</head>

<body>
<%
  String userName = null;
  Cookie[] cookies = request.getCookies();
  if(cookies !=null) {
    for (Cookie cookie : cookies) {
      if (cookie.getName().equals("username"))
        userName = cookie.getValue();
    }
  }
%>

<%= userName %>  welcome!
</body>
</html>

   <servlet>
        <servlet-name>HelloWorld</servlet-name>
        <servlet-class>HelloWorld</servlet-class>
    </servlet>

    <servlet-mapping>
        <servlet-name>HelloWorld</servlet-name>
        <url-pattern>/login</url-pattern>
    </servlet-mapping>

六、Cookie的限制

  1. Cookie数量和长度的限制。每个domain最多只能有20条cookie(取决于浏览器),若达到上限,则浏览器随机删除cookie;每个cookie长度不能超过4KB,否则会被截掉;浏览器最多300个cookie。
  2. 安全性问题。如果cookie被人拦截了,那人就可以取得所有的cookie信息。即使加密也与事无补,因为拦截者并不需要知道cookie的意义,他只要原样转发cookie就可以达到目的了。
    (cookie是服务端给客户端的用户标识,而不是进行身份认证)

参考:
https://humanwhocodes.com/blog/2009/05/05/http-cookies-explained/
https://flaviocopes.com/cookies/#set-a-cookie-path
https://blog.csdn.net/weixin_41547486/article/details/81294238

FixedStarHaHa
关注
  • 15
    点赞
  • 65
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
set-cookiecookie 的区别作用
墨痕诉清风的博客
08-31 487
HTTP响应报文通过Set-Cookie通知客户端需要保存如下cookie;可以含多个Set-Cookie项<a></a>。由服务器发送一个HTTP-cookie到浏览器。PHP函数setcookie()和setrawcookie()均可设置Cookie,它们都有一个boolean型的返回值,如果是false,代表设置失败;如果是true,代表设置成功。但这个返回值仅供参考,并不能保证100%客户端能够成功。
php中setcookie参数,详解setcookie的各个参数
weixin_31893057的博客
03-24 1307
bool setcookie(string name[,string value[,int expirel[,string path[,string domain[,int secure]]]]].第一个:name,必选参数,这个是cookie的变量名,可以通过$_COOKIE[‘user’]调用变量名为user的cookie.第二:value,可选参数,这个cookie变量的值,比如说set...
set-cookie字段,cookie文件介绍+原理,如何查看cookie文件,在基于http协议服务器的代码实现,cookie存在问题+解决(会话机制)
最新发布
m0_74206992的博客
05-08 1434
set-cookie字段,cookie文件介绍+原理,如何查看cookie文件,在基于http协议服务器的代码实现,cookie存在问题+解决(会话机制)
cookie设置过期时间
cherry_zhang18的博客
08-17 844
import Cookies from 'js-cookie' function setCookie(name, value, expires) { return Cookies.set(name, value, { expires }) } const millisecond = new Date().getTime() const expiresTime = new Date(millisecond + res.data.expires_in * 1000) setCookie('userTo.
http协议(四)Set-Cookie
Niall_Tonshall的博客
03-22 6113
响应首部 Set-Cookie 被用来由服务器端向客户端发送 cookie。 1. 指令 <cookie-name>=<cookie-value> 一个 cookie 开始于一个名称/值对: <cookie-name> 可以是除了控制字符 (CTLs)、空格 (spaces) 或制表符 (tab)之外的任何 US-ASCII 字符。同时不能包含以下分隔字符: ( ) < > @ , ; : \ " / [ ] ? = { }. <cookie-v
cookieset-cookie的区别及token值
z2768557792的博客
06-12 8067
请求头中的cookie和响应头的set-cookie的关系 Set-Cookie中的属性Domain限定给域下设置ctoken,然后现在页面所在域却是natapp.cc,所以有ctoken,此网络没有ctoken值,这就造成通过前端使用方法获取不到ctoken值。网络请求中的cookieset-Cookie的交互模式和作用:1、当很多人访问统一网络服务器,服务器如何区分不同的用户sessionid,sessionid保证了浏览器和服务器唯一性的通信凭证号码,session保存在服务器上,sessionid
set-cookie 设置问题
weixin_42287935的博客
05-25 1万+
原文链接:PolarisHuster 从上面两个图我们可以看出,虽然浏览器端有cookie,为什么在发送list请求时没有把本地的cookie带上呢,再看下面的截图: 上面两个截图我们可以看出,上面的list请求带上了Cookie信息,那么你不仅会疑问什么情况下http请求会把cookie带上,什么时候http请求不带cookie信息呢,解答这个疑问之前先了解些cookie相关的基础性的东西: Set-Cookie响应头字段(Response header)是服务器发送到浏览器或者其他客户端的一些
CookieSet-Cookie的区别
07-28 1661
HTTP响应报文通过Set-Cookie通知客户端需要保存如下cookie; 可以含多个Set-Cookie项 HTTP 请求报文通过Cookie字段通知服务端当前页面的域生效中的cookie;Cookie包含多个值 在node.js响应流中设置多个Set-Cookie header属性 res.writeHead(200, [ [‘Set-Cookie’, ‘mycookie1=value1’], [‘Set-Cookie’, ‘mycookie2=value2’] ]); 或者 res..
浏览器系列之 Cookie 和 SameSite 属性
小易不止于搬砖的博客
07-05 1300
Cookie 的设置、属性
同一网站不同和二级域名和不同子目录的cookie 作用范围问题
nanshanzhihou的专栏
01-23 1万+
转载链接 http://www.cnblogs.com/mitang/p/3884774.html 1、cookie二级域名的实现: 用户其中一个站点登录,而且可以各个子频道间切换,保持登录状态设置Cookie时,使用如下代码即可: setcookie(name,value,expire,path,"domain.com"); 这样,在每个二级域名都能读取这个Cookie的值。 参见:
PHP setcookie设置Cookie用法(及设置无效的问题)
01-20
结果碰到一个问题,setcookie设置了Cookie并没有生效,在浏览器端也没有看到。查了一下,原来是setcookie是通过HTTP请求响应的Header来完成的,需要在请求响应内容输出之前执行(就像其他Header设定一样)。 在php.ini中error_reporting = E_ALL的情况下,输出内容之后再setcookie会弹出以下提示: 复制代码 代码如下: Warning: Cannot modify header information – headers already sent by (output started at C:\xampp\htdocs\b.php:2
用header 发送cookie的php代码
12-17
1. **Set-Cookie**: 这是HTTP响应头中的字段名,用于告知浏览器创建一个Cookie。 2. **testcookie**: 这是Cookie的名称,可以根据需求自定义。 3. **中文**: 这是Cookie的值。请注意,虽然理论上Cookie的值可以包含...
Vue axios 跨域请求无法带上cookie的解决
10-14
后端需要在响应头中添加`Access-Control-Allow-Credentials`字段,并且该字段的值必须为`true`,表示允许携带cookie的跨域请求: ```http Access-Control-Allow-Origin: http://yourdomain.com Access-Control-...
易语言取网站Cookie文本源码-易语言
06-13
在获取到响应后,我们解析响应头,寻找"Set-Cookie:"字段,这是服务器设置新Cookie的地方。找到后,截取并更新Cookie字符串。 需要注意的是,实际应用中可能需要处理更复杂的Cookie情况,如多个Cookie以分号分隔,...
node.js cookie-parser之parser.js
12-23
`cookie-parser`是Node.js中一个非常常用的中间件,主要用于处理HTTP请求头中的`Cookie`字段,将接收到的cookie信息解析成一个易于操作的对象,然后将其存储在`req.cookies`中,方便开发者在服务器端进行操作。...
cookie-session-token:cookie、session、token简介
04-16
返回登录成功的信息给客户端,响应首部包含set-cookie字段,客户端接收到后存储cookiecookie里通常userid以及最重要的session_id用于关联会话3.下一次同域名请求会自动带上cookie,后端获取cookie里的session_id...
cookie】设置cookie过期时间 超时时间,Cookie 设置 expires
sky___Show的博客
12-16 4937
Cookie是什么: 简单地说,cookie 就是浏览器储存在用户电脑上的一小段文本文件。cookie 是纯文本格式,不包含任何可执行的代码。一个 Web 页面或服务器告知浏览器按照一定规范来储存这些信息,并在随后的请求中将这些信息发送至服务器,Web 服务器就可以使用这些信息来识别不同的用户。大多数需要登录的网站在用户验证成功之后都会设置一个 cookie,只要这个 cookie 存在并可以,用户就可以自由浏览这个网站的任意页面。再次说明,cookie 只包含数据,就其本身而言并不有害。 设置Cookie
nginx添加Set-Cookie属性Secure和HttpOnly
热门推荐
sumengnan的博客
02-23 3万+
问题:在https环境中,等保要求为set-cookie增加secure属性(为了安全,防止http请求时使用此cookie) 解决办法: 在nginx配置文件中可以是用proxy_cookie_path属性实现,该属性可以修改response set-cookie的path属性。如下: proxy_cookie_path / "/; Path=/; Secure; HttpOnly"; 完整的location代码: location / { proxy...
java 获取set-cookie
06-07
在Java中,可以通过使用`HttpURLConnection`类来发送HTTP请求并获取响应。如果需要获取`Set-Cookie`字段,可以通过以下步骤: 1. 首先,创建一个`URL`对象,表示要请求的URL地址。例如: ``` URL url = new URL("http://example.com"); ``` 2. 然后,调用`url.openConnection()`方法获取一个`HttpURLConnection`对象。例如: ``` HttpURLConnection connection = (HttpURLConnection) url.openConnection(); ``` 3. 设置请求方法。例如: ``` connection.setRequestMethod("GET"); ``` 4. 发送请求并获取响应。例如: ``` int responseCode = connection.getResponseCode(); String responseMessage = connection.getResponseMessage(); ``` 这里的`responseCode`表示响应状态码,`responseMessage`表示响应状态消息。 5. 获取`Set-Cookie`字段。例如: ``` String cookie = connection.getHeaderField("Set-Cookie"); ``` 这里的`cookie`就是获取到的`Set-Cookie`字段值。 注意,如果服务器返回多个`Set-Cookie`字段,可以通过`getHeaderFields()`方法获取所有响应头字段,并遍历获取到所有`Set-Cookie`字段的值。例如: ``` Map<String, List<String>> headers = connection.getHeaderFields(); for (String key : headers.keySet()) { if ("Set-Cookie".equals(key)) { List<String> values = headers.get(key); for (String value : values) { // 处理每个Set-Cookie字段的值 } } } ``` 这样,就可以获取到所有`Set-Cookie`字段的值了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值