Cookie的属性

最新推荐文章于 2024-05-16 09:23:34 发布
最新推荐文章于 2024-05-16 09:23:34 发布
阅读量1k 收藏 24
点赞数 24
文章标签: 前端 cookie 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37820751/article/details/135575677
版权

Cookie

name和value

Name和Value是一个键值对。Name是Cookie的名称,Cookie一旦创建,名称便不可更改,一般名称不区分大小写;Value是该名称对应的Cookie的值,如果值为Unicode字符,需要为字符编码。如果值为二进制数据,则需要使用BASE64编码。

document.cookie = 'name=xxx;';
domain

Domain决定Cookie在哪个域是有效的,也就是决定在向该域发送请求时是否携带此Cookie,Domain的设置是对子域生效的,如Doamin设置为 .a.com,则b.a.com和c.a.com均可使用该Cookie,但如果设置为b.a.com,则c.a.com不可使用该Cookie。

path

Path是Cookie的有效路径,和Domain类似,也对子路径生效,如Cookie1和Cookie2的Domain均为a.com,但Path不同,Cookie1的Path为 /b/,而Cookie的Path为 /b/c/,则在a.com/b页面时只可以访问Cookie1,在a.com/b/c页面时,可访问Cookie1和Cookie2。Path属性需要使用符号“/”结尾。

Expires/Max-age

Expires和Max-age均为Cookie的有效期,Expires是该Cookie被删除时的时间戳,格式为GMT,若设置为以前的时间,则该Cookie立刻被删除,并且该时间戳是服务器时间,不是本地时间!若不设置则默认页面关闭时删除该Cookie。 Max-age也是Cookie的有效期,但它的单位为秒,即多少秒之后失效,若Max-age设置为0,则立刻失效,设置为负数,则在页面关闭时失效。Max-age默认为 -1。

size

Szie是此Cookie的大小。在所有浏览器中,任何cookie大小超过限制都被忽略,且永远不会被设置。各个浏览器对Cookie的最大值和最大数目有不同的限制

HttpOnly

HttpOnly值为 true 或 false,若设置为true,则不允许通过脚本document.cookie去更改这个值,同样这个值在document.cookie中也不可见,但在发送请求时依旧会携带此Cookie

secure

Secure为Cookie的安全属性,若设置为true,则浏览器只会在HTTPS和SSL等安全协议中传输此Cookie,不会在不安全的HTTP协议中传输此Cookie。

sameSite

SameSite 可以设置为以下几个值

  • none (旧 chrome 版本(80以下)默认规则)

浏览器会在同站请求、跨站请求下继续发送 cookies,不区分大小写。网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。

  • Strict

浏览器将只在访问相同站点时发送 cookie。

  • Lax (新 chrome 版本默认规则)

规则稍稍放宽,大多数情况也是不发送第三方 cookie,但是导航到目标网址的 get 请求除外。

导航到目标网址的 get 请求,只包括三种情况:链接,预加载请求,get 表单。详见下表。

请求类型示例正常情况Lax
链接<a href="..."></a>发送 Cookie发送 Cookie
预加载<link rel="prerender" href="..."/>发送 Cookie 发送Cookie
GET 表单<form method="GET" action="...">发送 Cookie 发送Cookie
POST 表单<form method="POST" action="...">发送 Cookie不发送
iframe<iframe src="..."></iframe>发送 Cookie不发送
AJAX$.get("...")发送 Cookie不发送
Image<img src="...">发送 Cookie不发送

设置为 Lax 和 Strict 可以杜绝很多 csrf 攻击

Priority

优先级,chrome的提案,定义了三种优先级,Low/Medium/High,当cookie数量超出时,低优先级的cookie会被优先清除。

Cookie、localStorage、sessionStorage

生命周期:

cookie:可设置失效时间,没有设置的话,默认是关闭浏览器后失效

localStorage:除非被手动清除,否则将会永久保存。

sessionStorage: 仅在当前网页会话下有效,关闭页面或浏览器后就会被清除。

存放数据大小:

cookie:4KB左右

localStorage和sessionStorage:可以保存5MB的信息。

http请求:

cookie:每次都会携带在HTTP头中,如果使用cookie保存过多数据会带来性能问题

localStorage和sessionStorage:仅在客户端(即浏览器)中保存,不参与和服务器的通信

程序员-小许
关注
Python-Secure是一个轻量级包为PythonWeb框架添加了可选的安全头和cookie属性
08-12
开发者可以通过调用库提供的函数或装饰器,轻松地为响应添加安全头,并设置安全的Cookie属性。例如,在Flask中,可以使用`@app.after_request`装饰器来添加安全头: ```python from flask import Flask, make_...
cookie中的path与domain属性详解
09-04
Cookie中,有两个重要的属性——`path`和`domain`,它们决定了哪些页面可以访问特定的Cookie。 1. `domain`属性: `domain`属性用于指定Cookie所适用的域名。默认情况下,当服务器创建Cookie时,`domain`会设置...
Cookie属性之secure、httponly
weixin_44843710的博客
12-02 2231
登录时,HSIAR会生成token等会话信息,设置到响应的Set-Cookie头部,返回给浏览器,浏览器会在application存储Cookie信息,当有同域的请求发起时,浏览器会将此域的Cookie(如果有的话)携带并发往服务端进行认证;经常会有安全测试不了解Cookie属性,而认为某个属性是漏洞,最常见的就是secure,作者就见过几次漏洞报告,认为http协议下,Cookie的secure为false是一个安全漏洞,这其实是测试没有理解secure的真正作用。
Cookie属性,HttpOnly、Secure、Expire的作用
subsistent的博客
03-27 978
当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。若此属性为true,则只有在http请求头中会带有此cookie的信息,而不能通过document.cookie来访问此cookie。如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。
Secure Cookie和普通Cookie有什么区别?
最新发布
长风破浪会有时的博客
05-16 186
总的来说,Secure Cookie就像是一个有额外保护的小纸条,它能让我们的个人信息在互联网上传输时更加安全。所以,在需要保护个人信息的重要场合,使用Secure Cookie会是一个更好的选择。首先,我们要知道Cookie是存储在浏览器里的小纸条,它记录了关于我们的一些信息,比如我们访问过的网页、我们的偏好设置等。这样,当我们再次访问网站时,网站就能通过这些小纸条认出我们,并为我们提供更好的服务。现在,让我们来看看Secure Cookie和普通Cookie有什么不同。
浅析cookie之secure篇
a7442358的专栏
12-21 1422
浅析cookie之secure篇
java对cookie的操作(转)
江夏lz的博客
07-18 322
java对cookie的操作比较简单,主要介绍下建立cookie和读取cookie,以及如何设定cookie的生命周期和cookie的路径问题。   建立一个无生命周期的cookie,即随着浏览器的关闭即消失的cookie,代码如下 1 HttpServletRequest request  2 HttpServletResponse response ...
Cookie属性及操作大全
09-25
本文将深入探讨Cookie属性及操作,帮助你全面理解并掌握Cookie的相关知识。 一、Cookie的基本概念 Cookie是由服务器端发送到客户端(浏览器)的一小段文本信息,存储在用户的本地硬盘上。每当用户再次访问同一...
基于Cookie常用操作以及属性介绍
12-12
3. **Cookie属性**: - **value**:这是必需的,表示Cookie的值。例如,`'userName=fengkaicahng'`中的`fengkaicahng`就是value。 - **expires**:用于指定Cookie的过期时间。可以用JavaScript的`Date`对象来...
Cookie的所有属性详解
热门推荐
风吹过的博客
08-05 1万+
Cookie 本文将会讲一下Cookie 的各种属性 下图是浏览器中的Cookie截图,属性分别有Name、Value、Domain、Path、Expires/Max-age、Size、HttpOnly、Secure、SameSite和Priority。   Name和Value Name和Value是一个键值对。Name是Cookie的名称,Cookie一旦创建,名称便不可更改,一般名称不区分大小写;Value是该名称对应的Cookie的值,如果值为Unicode字符,需要为字符编码。如果值为二进制数据
cookie的secure属性详解
12-07
今天做项目的时候涉及到了cookie跨域传递的问题,也因此了解了cookie的一个属性——secure。 顾名思义,这个属性就是用来保证cookie的安全的。 当secure属性设置为true时,cookie只有在https协议下才能上传到服务器,而在http协议下是没法上传的,所以也不会被窃听。 简单实践一下,chrome浏览器打开https://www.baidu.com和http://www.baidu.com,分别打开控制台(下文称https页面中的控制台为console1,http的成为console2) 1. 先在console1中输入以下代码 [removed] =
cookie设置httpOnly和secure属性实现及问题
01-03
该文档整合了cookie的httponly和secure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
Cookie 中 相关HttpOnly属性的重要性
zy103118的博客
04-26 3944
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被
Cookie中的secure,httponly的属性和作用
最快的脚步不是跨越,而是继续;最慢的步伐不是缓慢,而是徘徊!
01-09 1739
(一)HttpOnly 1.什么是HttpOnly? 如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方...
Set-Cookie 的 secure 属性到底是干什么用的
lihuifen2011的博客
04-27 5375
有时候会看 到安全扫描报告中这样描述:影响所有Set-Cookie消息头中未设置可选属性Secure的系统。解决方案是:为cookie设置Secure属性
COOKIE的SECURE属性
几钱清风
11-17 7535
cookie-secure的值改为true,true意味着"指示浏览器仅通过 HTTPS 连接传回 cookie。这可以确保 cookie ID 是安全的,且仅用于使用 HTTPS 的网站。如果启用此功能,则 HTTP 上的会话 Cookie 将不再起作用。
Cookie详解
肥宝的实验室
04-11 5871
没怎么坐过客户端相关的工作,所以写爬虫的时候,很多概念都很模糊,学习起来很困难。现在想攻坚一下,所以找了一下cookies相关的内容。 HTTP cookies,通常又称作"cookies" 早期Web开发面临的最大问题之一是如何管理状态。服务器端没有办法知道两个请求是否来自于同一个浏览器。那时的办法是在请求的页面中插入一个token,并且在下一次请求中将这个token返回(至服务器)。这
cookie设置secure属性不生效
sadanmowang的博客
07-05 3790
在网上找资料,都是说cookie如果设置了secure=true,那么在http请求的时候,这个cookie就不会往后端传递。为了验证这个说法,我自己用springboot搭了一个简单程序,写了一个接口做测试,接口代码如下,很简单 @RequestMapping("/demo") @RestController public class DemoController { @GetMapping("/hello") public ResultVO hello(HttpServletReq
springboot-前端js设置cookie的name、value值,后端利用name获取指定cookie的value值
m0_52433668的博客
05-23 1260
springboot-前端js设置cookie的name、value值,后端利用name获取指定cookie的value值 前端 js 将传递过来的 id 存入cookie中, cookie 的 name 就是 'code' ,value 就是传过来的 id 实现的 js 代码如下: function setpicName_Cookie(id) { var code = id; document.cookie = 'code'+'...
cookie属性
05-27
在 JavaScript 中,我们可以使用 `document.cookie` 属性来读取和设置 cookie。当我们设置 cookie 时,可以指定以下属性: 1. `expires`:指定 cookie 的过期时间,可以是一个日期对象或一个表示从现在开始的秒数。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值