HTTP cookies 详解

最新推荐文章于 2024-05-22 16:57:21 发布
最新推荐文章于 2024-05-22 16:57:21 发布
阅读量396 收藏
点赞数
分类专栏: WEB 文章标签: http 安全 cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/johnyang123_assemble/article/details/104859810
版权

  • 创建 cookie

         Web 服务器通过发送一个称为 Set-Cookie 的 HTTP 消息头来创建一个 cookie,Set-Cookie消息头是一个字符串,其格             式如下(中括号中的部分是可选的):

    

1  

Set-Cookie: value[; expires=date][; domain=domain][; path=path][; secure]

  • secure 选项

最后一个选项是 secure。不像其它选项,该选项只是一个标记而没有值。只有当一个请求通过 SSL 或 HTTPS 创建时,包含 secure 选项的 cookie 才能被发送至服务器。这种 cookie 的内容具有很高的价值,如果以纯文本形式传递很有可能被篡改,例如:

1

Set-Cookie: name=Nicholas; secure

 

  • HTTP-Only cookies

微软的 IE6 SP1 在 cookie 中引入了一个新的选项:HTTP-onlyHTTP-Only 背后的意思是告之浏览器该 cookie 绝不能通过 JavaScript 的 document.cookie 属性访问。设计该特征意在提供一个安全措施来帮助阻止通过 JavaScript 发起的跨站脚本攻击 (XSS) 窃取 cookie 的行为(我会在另一篇博客中讨论安全问题,本篇如此已足够)。今天 Firefox2.0.0.5+、Opera9.5+、Chrome 都支持 HTTP-Only cookie。3.2 版本的 Safari 仍不支持。

要创建一个 HTTP-Only cookie,只要向你的 cookie 中添加一个 HTTP-Only 标记即可:

1

Set-Cookie: name=Nicholas; HttpOnly

 

  • cookie 自动删除

cookie 会被浏览器自动删除,通常存在以下几种原因:

  • 会话 cooke (Session cookie) 在会话结束时(浏览器关闭)会被删除
  • 持久化 cookie(Persistent cookie)在到达失效日期时会被删除
  • 如果浏览器中的 cookie 数量达到限制,那么 cookie 会被删除以为新建的 cookie 创建空间。详见我的另外一篇关于 cookies restrictions 的博客

对于自动删除来说,Cookie 管理显得十分重要,因为这些删除都是无意识的。

csdn_ask001
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
javascript 操作cookies详解及实例
12-12
javascript 操作cookies详解 这段操作cookies的方法我使用很久了,但是一直一来没遇到什么问题,今天在做一个在第一个页面保存了cookies,第二个页面获取或者第三个页面获取的功能中,发现了方法的局限性,比如,第一个页面路径为 http://xxxxx/cyb-car2016/h5OfficeWorker/index,第二个页面路径为 http://xxxxx/cyb-car2016/h5AlertController/index,其中除了域名是一样之外,还有一个命名空间不一样,而cookies是默认保存在当前页面下,所以在第一个页面中保存了cookies,因为保存的路径不
详解Angular操作cookies方法
01-19
本文介绍了Angular操作cookies方法,分享给大家,具体如下: var setCookie = function(name, value) { var Days = 30; var exp = new Date(); exp.setTime(exp.getTime() + Days * 24 * 60 * 60 * 1000); ...
HttpCookieHttpOnly和secure属性
魔力鸟的专栏
12-21 1万+
Cookie语法: Cookie通常是作为HTTP 应答头发送给客户端的,下面的例子展示了相应的语法(注意,HttpOnly属性对大小写不敏感):  Html代码   Set-Cookie: =[; =]   [; expires=][; domain=]   [; path=][; secure][; HttpOnly]  属性含义 1 secure
使用 Set-Cookies HttpOnly & Secure标志保护 Tomcat
allway2的博客
08-02 1531
根据MicrosoftDeveloperNetwork的说法,HttpOnly&Secure是Set-CookieHTTP响应标头中包含的附加标志。在Set-Cookie中使用HttpOnly有助于减轻最常见的XSS攻击风险。这可以由开发人员在应用程序中完成,也可以在Tomcat中实现以下内容。作为最佳实践,在修改之前备份配置文件,如果可能在非生产环境中进行测试,以确保它不会破坏应用程序。让我们看看如何实现这一点。...
nginx添加Set-Cookie属性Secure和HttpOnly
热门推荐
sumengnan的博客
02-23 3万+
问题:在https环境中,等保要求为set-cookie增加secure属性(为了安全,防止http请求时使用此cookie) 解决办法: 在nginx配置文件中可以是用proxy_cookie_path属性实现,该属性可以修改response set-cookie的path属性。如下: proxy_cookie_path / "/; Path=/; Secure; HttpOnly"; 完整的location代码: location / { proxy...
增加 cookie 安全性添加HttpOnly和secure属性
轻描淡写
10-12 4974
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读...
部分浏览器 set-cookie 不成功踩坑记录
heidou_2016的博客
11-05 5997
在WEB应用中,对于敏感业务,如:登录或者付款,需要使用HTTPS来保证内容的传输安全,而在用户成功获得授权之后,获得的客户端身份cookie如果没有设置为Secure,那么很有可能会被非HTTPS页面拿到,从而造成重要的身份泄露。公司正在做一个sso的单点登录的项目,做完之后,在测试阶段,不同的终端的兼容测试时候,好几个不同的浏览器出现了不同的问题,有登录之后自动退出,有登陆不成功等问题。而最终引发问题的原因是 set-cookie 中的 samesite 的兼容性引起的。
安全检测:会话cookie中缺少HttpOnly属性
qq_37432174的博客
01-02 5907
安全测试时,有时会检查出检测到会话cookie中缺少HttpOnly属性; 刚开始听到,就觉得怎么HttpOnly怎么这么耳熟,想了想,cookie中缺少HttpOnly,别人就可以进行XSS攻击,就是跨站脚本攻击,然后了?也许我看过,但我又给忘,好气啊,学艺不精,菜的真实,赶紧百度一下,这次记录一下,等等,貌似我以前有篇博客里有提到HttpOnly,我靠,突然嫌弃自己。 什么是HttpOnly?...
HTTP系列八、HTTPCookie机制
勇心在馨
06-10 1066
HTTP 里“无状态”的特性,服务器是不能感知客户端状态信息,那么可以通过HTTPCookie 机制,服务器给每个客户端都贴上一张小纸条,上面写了一些只有服务器才能理解的数据,需要的时候客户端把这些信息发给服务器,服务器看到 Cookie,就能够认出对方是谁了。
我如何设置一个http only的cookie
m0_57236802的博客
08-15 2844
设置一个HttpOnly的 cookie 意味着该 cookie 不能通过客户端脚本(如 JavaScript)进行访问。这是一个安全措施,通常用于减少某些类型的攻击,如跨站脚本攻击 (XSS)。以下是如何在不同的上下文中设置HttpOnly。
Django框架设置cookies与获取cookies操作详解
12-31
本文实例讲述了Django框架设置cookies与获取cookies操作。分享给大家供大家参考,具体如下: 在Django里面,使用Cookie和Session看起来好像是一样的,使用的方式都是request.COOKIES[XXX]和...from django.http impo
详解HTTP Cookie状态管理机制
12-18
HTTP cookies,通常又称作”cookies”,已经存在了很长时间,但是仍旧没有被予以充分的理解。首要的问题是存在了诸多误区,认为cookies是后门程序或病毒,或压根不知道它是如何工作的。第二个问题是对于cookies缺少...
http协议(四)Set-Cookie
Niall_Tonshall的博客
03-22 6001
响应首部 Set-Cookie 被用来由服务器端向客户端发送 cookie。 1. 指令 <cookie-name>=<cookie-value> 一个 cookie 开始于一个名称/值对: <cookie-name> 可以是除了控制字符 (CTLs)、空格 (spaces) 或制表符 (tab)之外的任何 US-ASCII 字符。同时不能包含以下分隔字符: ( ) < > @ , ; : \ " / [ ] ? = { }. <cookie-v
Http 请求头Cookie,响应头Set-Cookie
WebFrontEnd_TL
01-25 2万+
目录CookieSet-Cookie属性Example Cookie Http请求头 由服务器使用set-Cookie头发送,或者在Javascript中使用document.cookie设置 语法 Cookie: name=value; name2=value2; name3=value3 Set-Cookie Http响应头 用于从服务器向用户代理发送cookie,然后浏览器会将数据设置给下次请求的Cookie请求头,返回服务器。session功能的类似实现 可以设置多个Set-Cookie在相同的H
HTTP中的Cookie、Set-Cookie
XHT117的博客
08-21 3303
HTTP中的Cookie、Set-Cookie
关于CGI编程时的各cgi关联问题:同属一个用户的cgi:session与cookie
顺子的专栏
05-17 1609
我们在一些留言本、BBS讨论区发贴时常会出现这种现象:当进入发贴界面时 在要求填写用户名和密码的地方就已经自动地填上了你的资料。这是什么会事呢?这是因为程序中引入了COOKIE技术的缘故。原来在你第一次登录时,程序就 已在你的电脑中安装了一个COOKIE信息包,在你今后登陆时电脑就自动检索你的COOKIE并取出信息包的信息供程序调用,所以出现上面所述的现象。COOKIE只不过是CGI程序要求浏览器
CookieHttpOnly的使用方式以及用途
drawlessonsfrom的博客
12-22 2万+
一、HttpOnly的简介 HttpOnly是Cookie中一个属性,用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改。但是,HttpOnly的应用仍存在局限性,一些浏览器可以阻止客户端脚本对Cookie的读操作,但允许写操作;此外大多数浏览器仍允许通过XMLHTTP对象读取HTTP响应中的Set-Cookie头。 二、使用方式 语法 Set-Cookie: <cookie-name>=<cookie-value
一文读懂:http免费升级https
最新发布
2402_83162493的博客
05-22 585
部署于国内的验签服务器3-5分钟极速签发,而且只需要简单的域名解析验证,即可让您的网站开启https安全协议。步骤 1 : 客户端通过发送Client Hello报文开始SSL通信(这里是在TCP的三次握手已经完成的基础上进行的)。报文中包含客户端支持的SSL的指定版本、加密组件列表(所使用的加密算法及密钥长度等)。服务器的加密组件内容是从接收到的客户端加密组件内筛选出来的。步骤 4 : 最后服务器发送Server Hello Done 报文通知客户端,最初阶段的SSL握手协商部分结束。
request.getcookies方法详解
06-28
`request.getcookies()` 是一个Python中常用的HTTP请求对象(如 Flask 或 Django 中的request对象)的方法,用于获取请求中包含的所有cookie信息。 当客户端向服务器发送HTTP请求时,可以通过cookie在客户端和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值