cookie
Cookie是一个客户端会话技术,是由服务器端创建,放在响应头发送到客户端保存,用于存储少量数据,因为存放在客户端中,容易被人编造伪造,不是很安全。一般不用于存储重要信息。它是通过键值对传递信息的。
Cookie是保存在客户端的数据,所以如果不做设定,默认情况下是跟着客户端一起消失,如果设置setMaxAge(),将会以设置的数值为主,时间到了将会自动消失
- Cookie是服务器通知客户端保存键値对的一种技术
- 客戶端有了 Cookie后,每次请求都发送给服务器
- 每个 Cookie的大小不能超过4kB,超过这个限制cookie中无法存储该数据
Cookie应用场景
- Cookie能使站点跟踪特定访问者的访问次数、最后访问时间和访问者进入站点的路径
- Cookie能告诉在线广告商广告被点击的次数,从而可以更精确的投放广告
- Cookie有效期限未到时,Cookie能使用户在不键入密码和用户名的情况下进入曾经浏览过的一些
站点 - Cookie能帮助站点统计用户个人资料以实现各种各样的个性化服务
- 安全性能差,容易信息泄露
基础编程
添加cookie
Cookie ck1 = new Cookie("username", username); //创建cookie对象,注意cookie中只
能存放字符串,其它数据可以转换为字符串进行存储,默认maxAge为-1,表示采用内存cookie
response.addCookie(ck1); //将cookie发送到客户端
读取cookie
Cookie[] cks = request.getCookies();//获取当前应用可以访问的所有cookie
String username = null;
for (Cookie ck : cks) { //遍历所有的cookie,根据名称查找对应的存储数据
if ("username".equals(ck.getName())) {
username = ck.getValue();
}
}
Cookie与Session的区别
Session是保存在服务端的,有一个唯一标识 session.getId() 。在服务端保存Session的方法很多,内存、数据库、文件都有。集群的时候也要考虑Session的转移,在大型的网站,一般会有专门的Session服务器集群,用来保存用户会话,这个时候 Session 信息都是放在内存的,使用一些缓存服务比
如Memcached之类的来放 Session。
Cookie作用于每次HTTP请求的时候,客户端都会发送相应的Cookie信息到服务端。
Cookie原理
对于Cookie的实现原理是基于HTTP协议的,其中设计HTTP协议中的两个请求头信息分别为:响应头set-cookie、请求头cookie
[response.addCookie]当要发送Cookie的时候会有一个响应头set-cookie,里面放着数据,当将来浏览器在请求服务器资源的时候,会通过一个cookie头把cookie的数据携带到服务器资源里面来请求
Cookie限制性
cookie存储大小一般为4kB,存储个数一般20-53个,视浏览器的不同。
Cookie编程基础
void setValue(String newValue) cookie创建后设置一个新的值。
String getName()返回Cookie的名字。名字和值是关心的两个部分
String getValue() 返回Cookie的值
具体的cookie可以分为内存cookie和文件cookie, Cookie ck=new Cookie("username","zhangsan")时默认maxAge为 -1表示内存cookie,内存cookie在浏览器窗口关闭后会自动消失;如果需要使用文件cookie则需要设置maxAge,参数为正整数
void setMaxAge(int expiry) 以秒计算,设置Cookie过期时间。注意这个值是cookie将要存在的最大时间,而不是cookie现在的存在时间。负值表示当浏览器关闭时,Cookie将会被删除。零值则是要删除该Cookie
int getMaxAge() 返回Cookie过期之前的最大时间,以秒计算。
文件cookie不受当前窗口是否关闭的影响
Cookie ck=new Cookie("name","wangwu");
ck.setMaxAge(15*24*60*60);//需要存储15天,例如15天免登录
response.addCookie(ck);
void setComment(String purpose) 设置cookie中注释。
String getComment()返回cookie中注释,如果没有注释的话将返回空值
String getDomain() 返回cookie中Cookie适用的域名。使用getDomain() 方法可以指示浏览器把Cookie返回给同 一域内的其他服务器,而通常Cookie只返回给与发送它的服务器名字完全相同的服务器。注意域名必须以点开始,如.yesky.com)
void setDomain(String pattern) 设置cookie中Cookie适用的域名
String getPath()返回Cookie适用的路径。如果不指定路径,Cookie将返回给当前页面所在目录及其子目录下 的所有页面
void setPath(String uri) 指定Cookie适用的路径。
其他方法
boolean getSecure() 如果浏览器通过安全协议发送cookies将返回true值,如果浏览器使用标准协议则返回false值。
int getVersion() 返回Cookie所遵从的协议版本。
void setSecure(boolean flag) 指出浏览器使用的安全协议,例如HTTPS或SSL。
void setVersion(int v) 设置Cookie所遵从的协议版本。
Cookie通讯过程
Cookie在通讯中会经历4个过程:
- 浏览器发送请求
- 服务端接收请求,并返回响应,在报文头中包含set-cookie的字段
- 浏览器接收响应后将Cookie存储,并在之后的请求中都会带上cookie的信息
- 服务端接收请求,并返回响应。
Cookie属性
Cookie的属性有:key/value、Expires、Domain、path、Secure、HttpOnly
- Key/value键值对,cookie按照键值对的模式存储信息
- Expires过期时间,设置某个时间后,cookie会失效
- Domain指定Cookie的域名作用域
- Path是Cookie生成的路径
- Secure只有在HTTPS模式下,服务端才会响应cookie信息
- HttpOnly设为true后,只能通过http访问,不能通过document.cookie获取设定为httponly的键值,防止xss读取cookie
maxAge
标准用法
Cookie ck=new Cookie("name","wangwu");
// ck.setMaxAge(15*24*60*60);//需要存储15天,例如15天免登录
ck.setMaxAge(0); //删除cookie
response.addCookie(ck);
基于语法 cookie.setMaxAge(60); 单位为秒。
- 当maxAge >0时Cookie将在maxAge秒后自动失效
- 当maxAge =0时Cookie将立刻删除Cookie
- 当maxAge =-1时Cookie的时间过期后cookie依然存在在浏览器上,将存在一段时间或重启浏览器自动消失。
HttpServletResponse提供的Cookie操作只有一个addCookie,如果要修改Cookie只能用一个同名的Cookie进行覆盖。
客户端发送的cookie时,只会提交name和value属性,其他属性是不可读的。也不会被提交。即服务端无法判断Cookie是否过期,获取域名信息等。如在服务端通过cookie.getMaxAge()获取过期时间,读取的是一个只读属性,值永远为-1。
中文问题
在Cookie是中不能直接传输中文,如果想要传输中文的话,首先要在发送Cookie前先使用URL将中文进行编码,然后将编码后的数据发送到客户端
String content= "服务器传送的Cookie";
content= URLEncoder.encode(value,"UTF-8");
Cookie cookie = new Cookie("memo", content);
cookie.setMaxAge(1000); //设置Maximum Age过期时间s,默认是-1,关闭浏览器失效
cookie.setPath(request.getContextPath());//设置cookie路径为当前项目路径
response.addCookie(cookie);//添加cookie
获取Cookie的时候要将获取的数据进行URL解码
String val = "";
Cookie[] cookies = request.getCookies();//获取cookie数组
if (cookies != null && cookies.length > 0) {
for (Cookie cookie : cookies) { //遍历数组
if (cookie.getName().equals("memo")) {
val = cookie.getValue();
val = URLDecoder.decode(rediskt,"UTF-8");
break;
}
}
}
常见问题
- Session是在服务端保存的一个数据结构,用来跟踪用户的状态,这个数据可以保存在集群、数据库、文件中
- Cookie是客户端保存用户信息的一种机制,用来记录用户的一些信息,也是实现Session的一种方式。
Cookie运行在客户端,Session运行在服务端,对吗?
不完全正确。Cookie是运行在客户端,有客户端进行管理;Session虽然是运行在服务器端,但是sessionID作为一个Cookie是存储在客户端的。
浏览器禁止Cookie,Cookie就不能用了,但Session不会受浏览器影响,对吗?
错。浏览器禁止Cookie,Cookie确实不能用了,Session会受浏览器端的影响。很简单的实验,在登录一个网站后,清空浏览器的Cookie和隐私数据,单机后台的连接,就会因为丢失Cookie而退出。当然,有办法通过URL传递Session。
浏览器关闭后,Cookie和Session都消失了,对吗?
错。存储在内存中额Cookie确实会随着浏览器的关闭而消失,但存储在硬盘上的不会。更顽固的是Flash Cookie,不过现在很多系统优化软件和新版浏览器都已经支持删除Flash Cookie。百度采用了这样的技术记忆用户:Session在浏览器关闭后也不会消失,除非正常退出,代码中使用了显示的unset删除Session。否则Session可能被回收,也有可能永远残留在系统中。
Session 比 Cookie 更安全吗? 不应该大量使用Cookie吗?
错误。Cookie确实可能存在一些不安全因素,但和JavaScript一样,即使突破前端验证,还有后端保障安全。一切都还要看设计,尤其是涉及提权的时候,特别需要注意。通常情况下,Cookie和Session是绑定的,获得Cookie就相当于获得了Session,客户端把劫持的Cookie原封不动地传给服务器,服务器收到后,原封不动地验证Session,若Session存在,就实现了Cookie和Session的绑定过程。因此,不存在Session比Cookie更安全这种说法。如果说不安全,也是由于代码不安
全,错误地把用作身份验证的Cookie作为权限验证来使用。
Session是创建在服务器上的,应该少用Session而多用Cookie,对吗?
错。Cookie可以提高用户体验,但会加大网络之间的数据传输量,应尽量在Cookie中仅保存必要的数据。
如果把别人机器上的Cookie文件复制到我的电脑上(假设使用相同的浏览器),是不是能够登录别人的帐号呢?如何防范?
是的。这属于Cookie劫持的一种做法。要避免这种情况,需要在Cookie中针对IP、UA等加上特殊的校验信息,然后和服务器端进行比对。
在IE浏览器下登录某网站,换成Firefox浏览器是否仍然是未登录状态?使用IE登录了腾讯网站后,为什么使用Firefox能保持登录状态?
不同浏览器使用不同的Cookie管理机制,无法实现公用Cookie。如果使用IE登录腾讯网站,使用Firefox也能登录,这是由于在安装腾讯QQ软件时,你的电脑上同时安装了针对这两个浏览器的插件,可以识别本地已登录QQ号码进而自动登录。本质上,不属于共用Cookie的范畴。
ServletContext
ServletContext上下文提供对应用程序中所有Servlet所共有的各种资源和功能的访问。Servlet上下文API用于设置应用程序中所有Servlet共有的信息。Servlet可能需要共享他们之间的共有信息。运行于同一服务器的Servlet有时会共享资源,如JSP页面、文件和其他Servlet
在jsp中是9大默认对象的application对象
初始化参数
上下文参数一般都是配置在web.xml中
<context-param> 上下文参数的个数没有限制
<param-name>counter</param-name> 参数名称,不允许重复
<param-value>99999</param-value> 对应配置参数值
</context-param>
ServletContext接口的初始化参数允许servlet访问与web应用相关的上下文初始化参数,这些由应用开发人员在部署描述符中指定:
- getInitParameter
String str=this.getServletContext().getInitParameter("counter");//如
果上下文中没有这个初始化参数配置,则获取值null
允许servlet的init-param和上下文参数同名,这里只是通过不同的方式进行获取, 上下文参
数使用application对象获取,servlet参数配置使用ServletConfig获取
- getInitParameterNames
final ServletContext application = this.getServletContext();
final Enumeration<String> names =
application.getInitParameterNames();
while(names.hasMoreElements()){
String name=names.nextElement();
String value=application.getInitParameter(name);
System.out.println(name+"---"+value);
}
应用开发人员利用初始化参数传送配置信息。典型的例子是web管理员的e-mail地址或者一个持有关键数据的系统名称
上下文属性
可以通过名称将对象属性绑定到上下文。任何绑定到上下文的属性可以被同一个web应用的其他servlet使用。ServletContext接口的方法允许访问
- setAttribute
- getAttribute
- getAttributeNames
- removeAttribute
针对基本不发生改变而且需要频繁读取的数据,可以考虑将数据共享在application中
- 正确的做法是参数ServletContextListener实现application被创建时自动加载,在application销毁时存储数据
- 变通做法是由Servlet在init方法中负责加载准备
<servlet>
<servlet-name>loadCatalog</servlet-name>
<servlet-class>com.yan.action.LoadCatalogServlet</servlet-class>
<!--默认情况下,当第一次客户端访问Servlet时,才由服务器负责加载并初始化Servlet
对象 -->
<!--配置参数load-on-startup表示应用启动时自动加载Servlet,值为大于等于零的整
数,值越大优先级越低.默认值-1表示按需加载-->
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>loadCatalog</servlet-name>
<url-pattern>/load.do</url-pattern>
</servlet-mapping>
在LoadCatalogServlet的init方法中加载类目信息,并存放在application对象的属性中,其它地方直接获取即可
public class LoadCatalogServlet extends HttpServlet {
@Override
public void init() throws ServletException {
ServletContext application=this.getServletContext();
//模拟从数据库中获取所有的类目信息
List<Catalog> catalogList=new ArrayList<>();
for(int i=0;i<10;i++){
Catalog catalog=new Catalog();
catalog.setId(1L+i);
catalog.setName("name_"+i);
catalogList.add(catalog);
}
System.out.println(catalogList);
application.setAttribute("catalogList",catalogList);
}
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse
response) throws ServletException, IOException {
request.getRequestDispatcher("/product/add.jsp").forward(request,response);
}
@Override
protected void doPost(HttpServletRequest request, HttpServletResponse
response) throws ServletException, IOException {
}
}
页面中从application中获取数据
<select name="catalogId">
<option value="">请选择类别</option>
<%
Object obj=application.getAttribute("catalogList");
if(obj!=null && obj instanceof List){
List<Catalog> clist=(List<Catalog>) obj;
for(Catalog c:clist){
%>
<option value="<%=c.getId()%>"><%=c.getName()%></option>
<%}}%>
</select>
资源访问
ServletContext接口提供对web应用组成的静态内容文档层级的直接访问,包括HTML,GIF和JPEG文件:
- getResource
- getResourceAsStream
需求:读取应用根目录下的某个资源文件
比较麻烦的做法
final ServletContext application = this.getServletContext();
try{
String realPath=application.getRealPath(""); //获取应用根路径--绝
对路径,例如windows下c:\dddd\bbb
File file=new File(realPath,"counter.data"); //采用相对路径的方式指代
根路径下的文件counter.data
DataInputStream dos=new DataInputStream(new
FileInputStream(file));
dos.readLong(counter);
dos.close();
} catch (Exception e){
application.log("indexServlet",e);
}
使用getResourceAsStream相对比较简单一些
try{
final InputStream inputStream =
application.getResourceAsStream("counter"); //一般不建议在web应用中获取
运行环境相关的配置数据--探针程序
DataInputStream dis=new DataInputStream(inputStream);
counter1=dis.readLong();
dis.close();
} catch (Exception e){
application.log("indexServlet",e);
}
getResource和getResourceAsStream方法以 / 开头的字符串为参数,它指定上下文根路径的资源相对路径。文档的层级可能存在于服务器的文件系统、war文件、远程服务器或者在一些其它位置中。
这些方法不用来获取动态内容。比如,在一个支持JSP规范1的容器中,getResource(“/index.jsp”)这种形式的方法调用将返回JSP源代码,而不是处理后的输出
Web应用资源的完整列表可以使用getResourcePaths(String path)方法访问。
操作日志
两个重载的log方法都是记录日志到servlet日志文件,需要注意的是servlet日志文件的路径由具体的servlet容器自己去决定。如果是在IDE中跑应用的话,那么日志信息将在控制台Console输出。如果是发布到Tomcat下的话,日志文件是Tomcat目录下的/logs/localhost.yyyy-MM-dd.log
其它方法
getMajorVersion和getMinorVersion分别返回当前servlet容器支持的Servlet规范最高版本和最低版本。getEffectiveMajorVersion和getEffectiveMinorVersion分别返回当前应用基于的Servlet规范最高版本和最低版本,是servlet3.0规范增加的新特性。所以一般情况下:: getMajorVersion >= getEffectiveMajorVersion > getEffectiveMinorVersion >= getMinorVersion
233
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
