发现有人把 cookie 用作缓存机制,纠正

最新推荐文章于 2024-09-11 22:20:30 发布
最新推荐文章于 2024-09-11 22:20:30 发布
阅读量416 收藏
点赞数
文章标签: 网络 cookie python session jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lefex/article/details/109324355
版权

内容同时同步在《前端小课》网站:

https://lefex.gitee.io/

https://lefex.github.io/

Cookie

在学习 cookie 之前需要明白我们为啥要用 cookie,不用 cookie 行不行?

试想一下这种情形,用户登录一个购物网站进行购物时,当登录后即可获得个人的购物车信息,即使过了几天后,用户不登录仍然能够获取到购物车的信息,为啥?

这背后其实用的是 Cookie 机制。

什么是 Cookie

cookie 其实是 HTTP cookie,它是客户端缓存会话(session)的一种机制,比如我们打开一个网页的时候,浏览器就与服务端建立了一次会话,在这次会话当中,浏览器会向服务端访问数据,有些数据对于用户来说是私有的,比如购物车信息;有些是与用户本身无关的,比如购物网站的商品列表。

对于私有的数据,用户必须进行登录才能够访问,当用户输入账号和密码后,服务端验证成功后会给客户端下发一个 Token(可看做是一个临时密码),当用户想访问私有数据的时候只需要带上这个 token 就行,不需要每次都需要输入密码。

那么问题来了,在请求服务端数据的时候,难道在每个请求参数里都要加一个 token 吗?如果用户关闭网页后 token 就被释放了,那如何才能够保证 token 的不丢失呢?

答案是通过 cookie 机制,浏览器提供了 cookie 的缓存机制,能够持久保存一些数据,即使用户关闭浏览器,再打开浏览器时 cookie 仍然保留着。

Cookie 究竟长什么样

打开网页 https://github.com/lefex/FE ,进入调试模式可以看到所有的 cookie:

可以看到 cookie 被保存到了一张类似 excel 的表格中,由下面这些字段组成:

  • name:名字必须是唯一的,用来标识一个 cookie,必须经过 URL-encoded;

  • value:cookie 的值,cookie 保存的具体内容,必须经过 URL-encoded;

  • domain:cookie 要生效的域名,可控制哪些网络请求要携带 cookie,比如 .github.com 下的 cookie 将同时适用于它的子域名 lefex.github.com

  • path:控制 cookie 在那个 path 下生效,比如设置 path 为 /user/suyan,那么该 cookie 只能在包含 path 为 /user/suyan 请求中生效,如:https://lefex.github.com/user/suyan

  • expires:控制 cookie 的过期时间,比如你所登录的网站过一段时间后,发现还需要你进行登录操作,这是因为 cookie 过期了;

  • http-only:该 cookie 不能通过脚本进行访问,比如在浏览器里通过 document.cookie 无法获取到 cookie;

  • secure:标记是否只有 https 的请求才能够使用 cookie;

  • same-site:主要用来解决 CSRF 攻击问题,防止攻击者偷走你的 cookie,可以设置 Strict、Lax 和 None 这三个值;

通过 JavaScript 操作 Cookie

在浏览器中,并没有提供丰富的 api 来操作 cookie,但 cookie 个格式是一个字符串,基本格式如下,不同值直接使用 ; 分割:

Set-Cookie: <cookie-name1>=<cookie-value1>; Domain=<domain-value>;
Path='/' Secure; HttpOnly; SameSite=Lax; Expires=2021-10-24T05:27:23.000Z; 
<cookie-name2>=<cookie-value2>; Domain=<domain-value>; Path='/' Secure; 
HttpOnly; SameSite=Lax; Expires=2021-10-24T05:27:23.000Z;

获取所有的 cookie:

document.cookie

设置 cookie:

let cookieText = '';

let token = encodeURIComponent('token');
let cookie1 = `${token}=qianduanxiaoke; 
domain=localhost; path=/; sameSite=Lax;`
cookieText += cookie1;
// 对老的 cookie 无影响,除非有同名的 cookie,会覆盖
document.cookie = cookieText;

在实际项目中,我们一般直接使用第三方库来操作 cookie,基本原理非常简单,就是对 cookie 字符串进行操作。

限制

需要注意一点,不是说一个域名下想保存多少 cookie 就保存多少,而且 cookie 的大小也有限制。不同浏览器对应的限制可能并不相同。在使用 cookie 的时候,你心中应该有杆秤,不能随随便便往 cookie 里保存数据,一定要留意。下面是几条基本的限制,不同的浏览器限制不同:

  • 每个 cookie 最多 4096 bytes;

  • 每个域名最多保存 20 个 cookies;

  • 每个域名 cookie 的总大小最多 81920 bytes;

错误的做法

  • 避免用 cookie 当 storage

cookie 虽然能够持久缓存一些数据,但是切记不能用来做业务相关的数据存储,这样会导致网络请求时会携带没必要的 cookie 信息。而且,不同的浏览器会对 cookie 的个数和大小有限制;

被乱用的 Cookie

长按关注

素燕《前端小课》

帮助 10W 人入门并进阶前端

lefex
关注
前端获取cookie值_cookie介绍
weixin_39863918的博客
12-06 4250
概念Cookie用于存储web页面的用户信息,由用户客户端计算机暂时或永久保存的信息。构成Cookie由名键值对、有效期、作用域、安全性等组成。Name=Value设置Cookie的名称及对应的值。Expires = 日期有效期一般分为会话性和持久性,默认是会话性。Path = 路径定义Web应用可访问的目录。Domain = 域名设置Web应用访问的域名。Secure = 布尔值指是否...
好程序员web前端细解cookie那些事
qq_35970166的博客
07-11 408
好程序员web前端细解cookie那些事,在互联网时代,IT行业飞速发展,带动了web前端开发行业的兴趣。由于行业新兴起时间不久,专业人才缺乏,薪资待遇较高,已成为众多IT学子选择就业的首选,今天就为分享一些有用的干货。 1.什么是cookie cookie是浏览器缓存 缓存是什么?数据交换的缓冲区>>>>临时储存。 cookie的特性...
前端怎么获取cookie的值_京东购物小程序cookie方案实践(附Demo)
weixin_39716160的博客
12-06 4534
一、前言早期为了解决“会话保持”的需求,社区中出现了「cookie 方案」并最终成为 W3C 标准:当某个网站登录成功后,客户端(浏览器)收到一个 cookie 标识(文本)并保存下来,在后续请求中会自动带上这个字段,由此 Web 后台可以判断是否同一个用户,从而使“会话”得以延续。微信小程序没有像浏览器一样内置实现了 cookie 方案,需要开发者自行模拟,而原先京东购物小程序及京喜小...
前端Cookie
weixin_54197236的博客
08-29 557
js-cookie"是一个流行的JavaScript库,用于在浏览器中操作和管理Cookie。它提供了简单的API,可以轻松地设置、获取和删除Cookie
前端如何获取Cookie
の博客
05-18 740
前端获取cookie
Java面试题及答案整理( 2022 年 7月最新版)
m0_67698950的博客
05-31 1498
发现网上很多Java面试题都没有答案,所以花了很长时间搜集整理出来了这套Java面试题大全,希望对大家有帮助哈~ 博主已将以下这些面试题整理成了一个Java面试手册,是PDF版的。 小伙伴们有兴趣想了解内容和更多相关学习资料的请点赞收藏+评论转发+关注我,后面会有很多干货。我有一些面试题、架构、设计类资料可以说是程序员面试必备!所有资料都整理到网盘了,需要的话欢迎下载!私信我回复【000】即可免费获取 一、Java 基础 1. JDK 和 JRE 有什么区别? JDK:Java Develop
Java面试:数据库,Java,框架,前端技术。应有尽有
xing_TianXiaDiYi的博客
07-20 5495
** Java面试宝典 ** 一、 HTML&CSS部分 1、HTML中定义表格的宽度用80px和80%的区别是什么? PX标识像素,%标识整个页面的宽度百分比 2、CSS样式定义优先级顺序是? 内联样式最高优先权,然后是内部样式,然后才是外部样式 3、div和span的区别? DIV 和 SPAN 元素最大的特点是默认都没有对元素内的对象进行任何格式化渲染。主要用于应用样式表(共同点)。 两者最明显的区别在于DIV是块元素,而SPAN是行内元素(也译作内嵌元素)。 详解:1.所谓块元素,是
计网简简单单复习一下
最新发布
weixin_43739821的博客
09-11 1129
计算机网络基础 HTTP TCP IP ARP PING WebSocket 网络攻击 CDN 跨域
计算机网络常用知识总结。
weixin_70730532的博客
07-03 526
「物理层」首先解决两台物理机之间的通信需求,具体就是机器A往机器B发送比特流,机器B能收到比特流。物理层主要定义了物理设备的标准,如网线的类型,光纤的接口类型,各种传输介质的传输速率。主要作用是传输比特流(二进制数据),将比特流转化为电流强弱传输,到达目的后再转化为比特流,即常说的数模转化和模数转换。这层数据叫比特。「网卡工作在这层」。物理层是OSI七层模型的物理基础,没有它就谈不上数据传输了物理层就是由实物所承载的,所以作比喻的话,公路、汽车和飞机等承载货物(数据)的交通工具,就是物理层的象征「数据链路
Java常见面试题 + 答案
weixin_46668960的博客
02-20 1732
Java常见面试题 + 答案一、Java 基础二、容器三、多线程反射五、对象拷贝Java Web 一、Java 基础 1.JDK 和 JRE 有什么区别? JDK:Java Development Kit 的简称,java 开发工具包,提供了 java 的开发环境和运行环境。 JRE:Java Runtime Environment 的简称,java 运行环境,为 java 的运行提供了所需环境。 具体来说 JDK 其实包含了 JRE,同时还包含了编译 java 源码的编译器javac,还包含了很多 jav
JS设置cookie和获取cookie 方法
09-11
js写的方法,可以设置cookie和获取cookie值,简单易懂
js中cookie的创建和读取单个cookie
06-01
js中cookie的创建和读取单个cookie值,以及设置cookie的过期时间。 能够判断是否有自己需要查找的cookie,如果没有查到到就可以执行创建语句
javascript中cookie使用分析
miyacnn的专栏
06-06 1113
1,cookie的概述 2,cookie使用   1,JavaScript中的另一个机制cookie,则可以达到真正全局变量的要求。 cookie是浏览器 提供的一种机制,它将document 对象的cookie属性提供给JavaScript。可以由JavaScript对其进行控制,而并不是JavaScript本身的性质。 cookie是浏览器提供的一种机制,它将document ...
web前端怎么获取cookie?新手前端开发者需了解
xiaoxijinger的博客
03-29 2966
在前端开发中有些情况下需要获取用户的cookies,这样当用户下次登录网站的时候就不需要重复的去调整功能,那么你知道如何去实现吗? 先放一段完整的JS代码,后面都有功能备注,大家可以自己先看一下。 下面再介绍一下cookies的设置和获取方式,帮助新手前端开发者了解和使用 1.设置cookie的方法为:cookie.set(key,val,time) key可以理解为cookie的变量名 val可以理解为这个cookie所带有的值 time是cookie的超时时间,单位为天 2.获取cookie的方法为:
前端如何拿到cookie
热门推荐
七汐 的胡言乱语
05-23 1万+
function getCookie(cookieName) { var strCookie = document.cookie; var arrCookie = strCookie.split("; "); for(var i = 0; i < arrCookie.length; i++){ var arr = arrCookie[i].sp...
如何获取cookie
前端岚枫
09-10 4414
获取cookie的值 在上一节谈到了读取cookie的名与值,可以看到,只能够一次获取所有的cookie值,而不能指定cookie名称来获得指定的值,这样就必须从cookie中找到你要那个值,因此处理起来可能有点麻烦,用户必须自己分析这个字符串,所以得用到几个常见的字符处理函数来获取指定的cookie值。 具体的实现方法如下所示。 无标题文档     doc
Cookies与web缓存
zy010101博客
01-20 590
Cookie cookie是为了使web站点能更好的的与用户交互而出现的一种技术。通常一个站点都希望能标识用户。HTTP中的cookie正好能够满足要求,他能跟踪用户。cookie有4个组成部件 在HTTP请求报文中有个cookie首部行 在HTTP响应报文中有个cookie首部行 cookie是保存在用户客户端的一个文件,并由用户的浏览器进行管理。 cookie信息被保存在web站点的...
缓存cookie
weixin_42615873的博客
10-10 381
 设置cookie: function setCookie(name,value) { var Days = 30; var exp = new Date(); exp.setTime(exp.getTime() + Days*24*60*60*1000); document.cookie = name + "="+ escape (value) + ...
前端怎么获取cookie的值_作为前端你必须要了解的安全性问题!
weixin_39881513的博客
12-01 1104
前端技术不断发展,安全性的问题也越来越受到关注。作为前端工程师,保障网络安全也越来越重要。XSS攻击XSS(Cross Site Scripting)跨站脚本攻击。攻击者在网站上植入非法的html或是JavaScript代码,将受害者重定向到一个被攻击者控制的恶意网站,在恶意网站中对用户的隐私(如cookie)进行盗取。反射型XSS攻击对用户的输入进行简单的浏览器反射。常见的在网页端设置一个连接,...
cookie缓存机制
07-28
Cookie缓存机制是一种在Web浏览器中存储和检索有关用户会话信息的方法。它通过在用户的计算机上存储小型文本文件来实现。当用户与网站进行交互时,这些文件会被发送到服务器,以便服务器了解用户的偏好和状态。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值