Cookie详解

最新推荐文章于 2023-08-11 10:42:44 发布
最新推荐文章于 2023-08-11 10:42:44 发布
阅读量674 收藏 2
点赞数 1
分类专栏: 【杂记】 文章标签: cookie 跨域cookie samesite csrf cross-domain
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/juzipidemimi/article/details/111410587
版权

cookie

cookie是浏览器端的一种数据存储,常和localStoragesession一起比较,常被用来记录用户的身份信息状态,为无状态的http请求添加了访问用户的身份标志。只要满足了发送条件,就会自动添加到http请求头中。满足条件是根据cookie的几个可选属性决定的,首先cookie是以键值对的方式存储(name = value),每个键值对还有不同的可选属性,都可以在设置cookie时一并添加:

  • path:可以访问cookie的页面路径,该路径及它的子路径都可以访问
  • domain:可以访问cookie的域名,该域名及它的子域名都可访问
  • max-ageexpire:都是设置cookie的存储周期,expire是一个绝对的过期时间,以客户端为准,max-age是一个相对存储时间。不设置超时时间的cookie存储周期为session,浏览器关闭后,cookie失效
  • secure:限制只能通过https发送cookie
  • httpOnly:限制只有http请求才能访问cookie,这样客户端脚本就不能读取cookie了,可以预防xss攻击
  • SameSite:最开始由Chrome浏览器提出,现在已经得到了很多浏览器的支持,主要是用来防止csrf攻击

这些属性决定了cookie什么时候、什么场景下被使用。

设置cookie的方式

设置cookie的方式有两种,客户端和服务端,客户端通过document.cookie设置,每次仅能对一个cookie进行设置和更新,可以参考MDN文档。服务端通过Set-Cookie响应头设置。需要注意的一点是cookie的domain的默认值是服务端或客户端当前的域名,即使设置,也只能是当前域名及其父域名。

跨域cookie

前面说了,只要满足上面的可选属性,cookie就会自动被发送,但是有一种情况例外。就是当跨域请求发生时,浏览器默认不会携带cookie,即便cookie满足domain, path, secure等属性。想要发送cookie需要分别在客户端和服务端进行相应的设置。

客户端需要添加携带cookie的标志:

1.ajax可以添加withCredentials: true的选项
2.fetch可以添加credentials: 'include'选项

服务端需要携带Access-Control-Allow-Credentials: true响应头,同时Access-Control-Allow-Origin响应头不能为:*通配符,只能指定具体的单一域名。

当然也可以使用代理来避免前后端跨域的问题。

SameSite属性

sameSite属性在Chrome 51开始添加,在Chrome 80后将默认值设置为Lax,主要用来限制跨站点cookie的发送情况。注意,这里的跨站和跨域是两个不同的定义。同站表示两个域名的二级域名+顶级域名相同。且顶级域名得是有效顶级域名(eTLD),有效顶级域名注册在 Mozilla 维护的公共后缀列表(Public Suffix List)中,例如.com, .co.uk, pvt.k12.ma.us。所以a.baidu.comb.baidu.com是同站,a.github.iob.github.io不是同站,因为github.io不属于有效顶级域名。

samesite有三个值:

  • Strict 完全禁止跨站cookie的传递
  • Lax 大多数情况不发送跨站cookie,具体如下
请求类型示例正常情况Lax
链接<a href="..."></a>发送 Cookie发送 Cookie
预加载<link rel="prerender" href="..."/>发送 Cookie发送 Cookie
GET 表单<form method="GET" action="...">发送 Cookie发送 Cookie
POST 表单<form method="POST" action="...">发送 Cookie不发送
iframe<iframe src="..."></iframe>发送 Cookie不发送
AJAX$.get("...")发送 Cookie不发送
Image<img src="...">发送 Cookie不发送
  • None 无论是否跨站都会发送cookie

csrf攻击

csrf全称是:Cross-site request forgery,意思为跨站点伪造攻击。原理是借助用户已有的身份标志,去完成攻击操作。例如用户在某系统登录成功后,进入到了另外的攻击网站,网站后台不经过用户允许发起删除数据、篡改数据的操作(由于已经登录成功,会携带cookie身份标志)。防御这类攻击的方案有多种:

1.阻止cookie身份标志在未经允许的情况下被发送,可以借助samesite属性实现
2.由于攻击请求都是来源于攻击网站,服务端可以通过referer头来验证请求方的身份
3.csrftoken,csrf攻击的要点就是用户身份可以伪造,所以我们可以在请求中加入一些自己的标志,由服务端为客户端生成专用的token,在发送请求时添加到请求头中,攻击网站发起的恶意攻击则不能伪造出这样的标志

和localStorage的比较

cookie相比较,localStorage的优势是存储空间更大,而在安全性方面,反而不如cookie,对于xss攻击,cookielocalStorage都可以被读取,但cookie可以设置httpOnly属性,localStorage没有任何的防御机制。

和session的比较

session是被存储在服务端的,也就是服务器的内存中,相对cookie,使用session存储重要信息更安全,但是也有缺点,会消耗服务器内存,同时session在多台服务器的同步也是一个问题。

神以灵
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Cookie简述
Paige's Blog
11-30 467
1. 什么是Cookie Cookie是HTTP协议的规范之一,指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据 首先由服务器通过响应头把Cookie传输给客户端,客户端会将Cookie保存起来。 当客户端再次请求同一服务器时,客户端会在请求头中添加该服务器保存的Cookie,发送给服务器。 2. HTTP协议指定的Cookie规范 Cookie通过请求头和
Cookie讲解
LIAO_YUANLONG的博客
03-07 330
会话:用户打开一个浏览器,点击了很多超链接,访问多个web资源,关闭浏览器,这个过程称之为会话。 有状态会话:一个同学来了过教室,下次再来教室,我们会知道这个同学,曾经来过,称之为有状态会话、 一个网站,怎么证明你来过? 客户端 服务器 服务端给客户端一个信件,客户端下次访问服务端带上信件就可以了:cookie 服务器登记你来过,下次你来的时候我来匹配你:seesion 1、保存会话的两种技术 cookie 客户端技术 (响应,请求) session 服务器技术,利用这个技术,可以
Cookies 简介以及存在的安全隐患
Soinice的博客
12-03 3174
Cookies是涉及到计算机使用安全的一个非常重要的文件,本文对其基本情况及使用时需要注意的防范和安全问题进行了阐述。  什么是Cookies Cookie 是一个键值对(客户端) Cookie是由服务器端生成,发送给User-Agent(一般是浏览器),浏览器会将Cookie的key/value保存到某个目录下的文本文件内,下次请求同一网站时就发送该Cookie给服务器(前提是浏览...
cookie简单理解
curry_tong的博客
10-10 474
cookie 是浏览器端存储数据的技术. 服务器不能存储 cookie, 但是服务器可以发送请求命令浏览器存储 cookie.   如何存储 cookie         在 document 中有一个属性 叫 cookie         cookie 是一个 键值对, 是一个使用 等号 连接的键值, 是一个字符串         cookie 直接使用 赋值来追加数据
Cookie
weixin_58448088的博客
02-17 4309
1、什么是cookie 2、怎样使用cookie
cookie是什么?有什么用?cookie详解,一篇文章彻底搞懂cookie
m0_62695120的博客
03-29 2万+
Cookie是什么 cookie的中文翻译是曲奇,小甜饼的意思。cookie其实就是一些数据信息,类型为“小型文本文件”,存储于电脑上的文本文件中。 Cookie有什么用 我们想象一个场景,当我们打开一个网站时,如果这个网站我们曾经登录过,那么当我们再次打开网站时,发现就不需要再次登录了,而是直接进入了首页。例如bilibili,csdn等网站。 这是怎么做到的呢?其实就是游览器保存了我们...
浏览器Cookie详解
热门推荐
huangpb的博客
10-15 2万+
一、了解 Cookie Cookie最开始被设计出来是为了弥补HTTP在状态管理上的不足。HTTP协议是一个无状态协议,客户端向服务器发请求,服务器返回响应,故事就这样结束了,但是下次发请求如何让服务端知道客户端是谁呢?这种背景下,就产生了Cookiecookie 存储在客户端: cookie 是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。因此,服务端脚本就可以读、写存储在客户端的cookie的值。 cookie 是不可跨域...
cookie的理解(详细讲解)
liulang68的博客
08-11 5732
cookie和session的区别就是cookie是客户端(浏览器)产生的东西,session是在服务端去存储的。 Cookie是服务端在HTTP响应中附带给浏览器的一个小文本文件,一旦浏览器保存了某个Cookie,在之后的请求和响应中,会将此Cookie来回传递,这样就可以通过Cookie这个载体完成客户端和服务端的数据交互。 Cookie常用的方法 void setMaxAge(int age) 设置Cookie的有效时间,单位为秒 int getMaxAge() 设置Cookie
JavaScript操作Cookie详解
10-24
主要介绍了JavaScript操作Cookie详解,本文讲解了什么是CookieCookie基础知识、Cookie常见问题、cookie 有两种清除方式、Cookie基础用法、Cookie高级用法等内容,需要的朋友可以参考下
cookie 详解
03-15
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是Cookie与Session。...本章将系统地讲述Cookie与Session机制,并比较说明什么时候不能用Cookie,什么时候不能用Session。
Cookie详解.pdf
10-02
Cookie 详解 Cookie 是一种在 Web 应用程序中存储用户特定信息的方法。它是一小段文本信息,伴随着用户请求和页面在 Web 服务器和浏览器之间传递。Cookie 包含每次用户访问站点时 Web 应用程序都可以读取的信息。 ...
python处理cookie详解
01-21
domain=baidu.comexpires是cookie的生存周期,path是cookie的有效路径,domaincookie的有效域. 路径”path”用于设置可以读取一个cookie的最顶层的目录. 将cookie的路径设置为你的网页最顶层的目录可以让该该目录...
php cookie 详解使用实例
12-19
下面首先为大家介绍一下cookie概念及工作原理。 什么是 CookieCookie 是一小段文本信息,伴随着用户请求和页面在 Web 服务器和浏览器之间传递。用户每次访问站点时,Web 应用程序都可以读取 Cookie 包含的信息。...
Cookie对象及其方法(小饼干)
深耕java的博客
02-13 869
会话技术:Cookie&Session 1.会话:一次会话中包括多次请求和响应 一次会话:浏览器第一次给服务器资源发送请求,会话建立,直到一方断开为止 2.功能:在一次会话的范围内的多次请求间,共享数据 3.方式: 1.客户端会话技术:Cookie 将数据存储在客户端 2.服务器端会话技术:Session 将数据存储在服务器端 Cookie(小饼干): 1.概念: 客户端会话技术,将数据("小饼干")保存到客户端
html页面怎么保存和读取cookie 推荐MDN封装的cookie方法
Gqiangqiang的博客
02-18 9378
做开发时会时不时的用到cookie来保存数据,比如常见的登录页面的username和password,那么html页面中怎么去操作cookie呢?
Cookie详解
最新发布
Artisan_w
08-11 1536
cookie是用来维护用户信息的,而域名(domain)下所有请求都会携带cookie,但对于静态文件的请求,携带cookie信息根本没有用,此时可以通过cdn(存储静态文件的)的域名和主站的域名分开来解决。值得注意的是,从客户端读取Cookie时,包括maxAge在内的其他属性都是不可读的,也不会被提交。2)、在设置Cookie认证的时候,需要加入两个时间,一个是“即使一直在活动,也要失效”的时间,一个是“长时间不活动的失效时间”,并在Web应用中,首先判断两个时间是否已超时,再执行其他操作。
cookie属性详解
尊哥的博客
08-09 4222
cookie属性:name、value、expires、domain、path、secure、max-age、HttpOnly。 name name属性是必需的,它是一个键值对,用于指定Cookie的键。 value value属性是必需的,它是一个键值对,用于指定Cookie的值。 expires expires属性用于指定Cookie过期时间。它采用UTC或GMT格式,比如通过new...
SheetJS/js-xlsx修改表头
神以灵的博客
06-05 1万+
SheetJS/js-xlsx修改表头 我们经常使用到json_to_sheet方法将json数据转化到worksheet(表示excel文件中的一个表)中,最后导出excel表,但是列头会默认采用数据的键名。 const data = [ { name: 'jzx', age: 17 }, { name: 'wmp', ...
session和cookie详解
05-18
Cookies和Session是Web开发中两个常见的术语,它们都是用于服务器和浏览器之间的通信。Cookies是一种简单的文本文件,存储在浏览器的本地文件中,而Session则是在服务器上保存的数据。Cookies可以用来记住用户的信息...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值