为什么要用Cookie
浏览器与WEB服务器之间是使用HTTP协议进行通讯的,而HTTP协议本身是无状态的。什么是无状态呢,即服务器无法判断浏览器身份,即无论浏览器是否已经访问过,服务器都会当成第一次来对待。这时就需要一个能保存访问状态的信息,去告诉服务器我已经访问过你了。而这个信息就可以使用Cookie来保存。
什么是Cookie
Cookie实际上是一小段的文本信息(key-value格式)。浏览器向服务器发起请求,如果服务器需要记录该状态,服务器就会向浏览器颁发一个Cookie。浏览器会把Cookie保存起来。当浏览器再请求该服务器时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认浏览器状态。
Cookie可以做什么
- 可以用来保存用户使用浏览器访问网站的状态和用户信息。
- 可以告诉在线广告商广告被点击的次数,以便更精确的投放广告。
- 可以帮助网站统计用户使用习惯,以实现各种各样的个性化服务。
等等,Cookie能做的事情有很多。但作为开发者最好能够合理规范的使用它,不然对网站本身也会存在不少的缺陷。如:不要用Cookie存储用户的个人资料信息或账号密码,这容易泄露被有心人干坏事
Cookie的通讯过程
Cookie在通讯中会经历4个过程:
- 浏览器发送请求
- 服务端接收请求,并返回响应,在报文头中包含set-cookie的字段
- 浏览器接收响应后将Cookie存储,并在之后的请求中都会带上cookie的信息。
- 服务端接收请求,并返回响应。
Cookie属性
Cookie的属性有:key/value、Expires、Domain、path、Secure、HttpOnly
属性项 | 解释 |
Key/value | 键值对,cookie按照键值对的模式存储信息 |
Expires | 过期时间,设置某个时间后,cookie会失效 |
Domain | 指定Cookie的域名作用域 |
Path | Cookie生成的路径 |
Secure | 只有在HTTPS模式下,服务端才会响应cookie信息 |
HttpOnly | 设为true后,只能通过http访问,不能通过document.cookie获取设定为httponly的键值,防止xss读取cookie
|
Cookie的实现
服务端JAVA实现
public static writeCookie(HttpServletResponse response) {
Cookie cookie = new Cookie(“temp”, “temp”);
cookie.setPath("/");
cookie.setMaxAge(60);
response.addCookie(cookie);
}
注意:
1.设置Cookie的Expires。其中maxAge表示该属性,单位为秒。
当maxAge >0,Cookie将在maxAge秒后自动失效;
当maxAge =0,Cookie将立刻删除Cookie。
当maxAge =-1,Cookie的时间过期,cookie依然存在在浏览器上,将存在一段时间或重启浏览器自动消失。
2.HttpServletResponse提供的Cookie操作只有一个addCookie,如果要修改Cookie只能用一个同名的Cookie进行覆盖。
3.客户端发送的cookie时,只会提交name和value属性,其他属性是不可读的。也不会被提交。即服务端无法判断Cookie是否过期,获取域名信息等。如在服务端通过cookie.getMaxAge()获取过期时间,读取的是一个只读属性,值永远为-1。
其他实现
一些扩展
限制性:cookie存储大小一般为4kb,存储个数一般20-53个,视浏览器的不同。
安全性:信息被存在 Cookie 中时,需要明白 cookie 的值时可以被访问,且可以被终端用户所修改的。当机器处于不安全环境时,切记不能通过 HTTP Cookie 存储、传输敏感信息。
参考资料:
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Cookies HTTP cookies
https://tools.ietf.org/html/rfc6265 HTTP协议Cookie标准