WEB项目使用Cookie

为什么要用Cookie

浏览器与WEB服务器之间是使用HTTP协议进行通讯的,而HTTP协议本身是无状态的。什么是无状态呢,即服务器无法判断浏览器身份,即无论浏览器是否已经访问过,服务器都会当成第一次来对待。这时就需要一个能保存访问状态的信息,去告诉服务器我已经访问过你了。而这个信息就可以使用Cookie来保存。

什么是Cookie

Cookie实际上是一小段的文本信息(key-value格式)。浏览器向服务器发起请求,如果服务器需要记录该状态,服务器就会向浏览器颁发一个Cookie。浏览器会把Cookie保存起来。当浏览器再请求该服务器时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认浏览器状态。

Cookie可以做什么

  1. 可以用来保存用户使用浏览器访问网站的状态和用户信息。
  2. 可以告诉在线广告商广告被点击的次数,以便更精确的投放广告。
  3. 可以帮助网站统计用户使用习惯,以实现各种各样的个性化服务。

等等,Cookie能做的事情有很多。但作为开发者最好能够合理规范的使用它,不然对网站本身也会存在不少的缺陷。如:不要用Cookie存储用户的个人资料信息或账号密码,这容易泄露被有心人干坏事

Cookie的通讯过程

Cookie在通讯中会经历4个过程:

  1. 浏览器发送请求
  2. 服务端接收请求,并返回响应,在报文头中包含set-cookie的字段
  3. 浏览器接收响应后将Cookie存储,并在之后的请求中都会带上cookie的信息。
  4. 服务端接收请求,并返回响应。

Cookie属性

Cookie的属性有:key/value、Expires、Domain、path、Secure、HttpOnly

属性项

解释

Key/value

键值对,cookie按照键值对的模式存储信息

Expires

过期时间,设置某个时间后,cookie会失效

Domain

指定Cookie的域名作用域

Path

Cookie生成的路径

Secure

只有在HTTPS模式下,服务端才会响应cookie信息

HttpOnly

设为true后,只能通过http访问,不能通过document.cookie获取设定为httponly的键值,防止xss读取cookie

 

Cookie的实现

服务端JAVA实现

public static writeCookie(HttpServletResponse response) {
   Cookie cookie = new Cookie(“temp”, “temp”);
    cookie.setPath("/");
    cookie.setMaxAge(60);
    response.addCookie(cookie);
}

注意:

1.设置Cookie的Expires。其中maxAge表示该属性,单位为秒。

当maxAge >0,Cookie将在maxAge秒后自动失效;

当maxAge =0,Cookie将立刻删除Cookie。

当maxAge =-1,Cookie的时间过期,cookie依然存在在浏览器上,将存在一段时间或重启浏览器自动消失。

2.HttpServletResponse提供的Cookie操作只有一个addCookie,如果要修改Cookie只能用一个同名的Cookie进行覆盖。

3.客户端发送的cookie时,只会提交name和value属性,其他属性是不可读的。也不会被提交。即服务端无法判断Cookie是否过期,获取域名信息等。如在服务端通过cookie.getMaxAge()获取过期时间,读取的是一个只读属性,值永远为-1。

其他实现

一些扩展

限制性:cookie存储大小一般为4kb,存储个数一般20-53个,视浏览器的不同。

 

安全性:信息被存在 Cookie 中时,需要明白 cookie 的值时可以被访问,且可以被终端用户所修改的。当机器处于不安全环境时,切记不能通过 HTTP Cookie 存储、传输敏感信息。

 

参考资料:

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Cookies HTTP cookies

https://tools.ietf.org/html/rfc6265 HTTP协议Cookie标准   

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值