实用,完整的HTTP cookie指南,附面试答案

于 2024-03-20 17:19:22 发布
阅读量1k 收藏 25
点赞数 20
分类专栏: 2024年程序员 文章标签: http 面试 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61068496/article/details/136883042
版权

set-cookie: cookiename=d0m41n-c00k13; Domain=valentinog.com

此cookie是使用 Nginx add_header在Web服务器上设置的:

add_header Set-Cookie “cookiename=d0m41n-c00k13; Domain=valentinog.com”;

这里使用 Nginx 中设置cookie的多种方法。 Cookie 是由 Web 服务器或应用程序的代码设置的,对于浏览器来说无关紧要。

重要的是 cookie 来自哪个域。

在此浏览器将愉快地接受cookie,因为Domain中的主机包括cookie所来自的主机。

换句话说,valentinog.com包括子域名www.valentinog.com

同时,对valentinog.com的新请求,cookie 都会携带着,以及任何对valentinog.com子域名的请求。

这是一个附加了Cookie的 www 子域请求:

下面是对另一个自动附加cookie的子域的请求

Cookies 和公共后缀列表

查看 https://serene-bastion-01422.herokuapp.com/get-domain-cookie/:设置的 cookie:

Set-Cookie: coookiename=d0m41n-c00k13; Domain=herokuapp.com

这里的 cookie 来自serene-bas-01422.herokuapp.comDomain 属性是herokuapp.com。浏览器在这里应该做什么

你可能认为serene-base-01422.herokuapp.com包含在herokuapp.com域中,因此浏览器应该接受cookie。

相反,它拒绝 cookie,因为它来自公共后缀列表中包含的域。

Public Suffix List(公共后缀列表)。此列表列举了顶级域名和开放注册的域名。浏览器禁止此列表上的域名被子域名写入Cookie。

主机匹配(子域)

查看 https://serene-bastion-01422.herokuapp.com/get-subdomain-cookie/:设置的 cookie:

Set-Cookie: coookiename=subd0m41n-c00k13

当域在cookie创建期间被省略时,浏览器会默认在地址栏中显示原始主机,在这种情况下,我的代码会这样做:

response.set_cookie(key=“coookiename”, value=“subd0m41n-c00k13”)

当 Cookie 进入浏览器的 Cookie 存储区时,我们看到已应用Domain

现在,我们有来自serene-bastion-01422.herokuapp.com 的 cookie, 那 cookie 现在应该送到哪里?

如果你访问https://serene-bastion-01422.herokuapp.com/,则 cookie 随请求一起出现:

但是,如果访问herokuapp.com,则 cookie 不会随请求一起出现:

概括地说,浏览器使用以下启发式规则来决定如何处理cookies(这里的发送者主机指的是你访问的实际网址):

  • 如果“Domain”中的域或子域与访问的主机不匹配,则完全拒绝 Cookie

  • 如果 Domain 的值包含在公共后缀列表中,则拒绝 cookie

  • 如果Domain 中的域或子域与访问在主机匹配,则接受 Cookie

一旦浏览器接受了cookie,并且即将发出请求,它就会说:

  • 如果请求主机与我在Domain中看到的值完全匹配,刚会回传 cookie

  • 如果请求主机是与我在“Domain”中看到的值完全匹配的子域,则将回传 cookie

  • 如果请求主机是sub.example.dev之类的子域,包含在example.dev之类的 Domain 中,则将回传 cookie

  • 如果请求主机是例如example.dev之类的主域,而 Domain 是sub.example.dev之类,则不会回传cookie。

Domain 和 Path 属性一直是 cookie 权限的第二层。

Cookies可以通过AJAX请求传递

Cookies 可以通过AJAX请求传播。 AJAX 请求是使用 JS (XMLHttpRequest或Fetch)进行的异步HTTP请求,用于获取数据并将其发送回后端。

考虑 Flask的另一个示例,其中有一个模板,该模板又会加载 JS 文件:

from flask import Flask, make_response, render_template

app = Flask(name)

@app.route(“/”, methods=[“GET”])

def index():

return render_template(“index.html”)

@app.route(“/get-cookie/”, methods=[“GET”])

def get_cookie():

response = make_response(“Here, take some cookie!”)

response.set_cookie(key=“id”, value=“3db4adj3d”)

return response

以下是 templates/index.html 模板:

Title

FETCH

下面是 static/index.js 的内容:

const button = document.getElementsByTagName(“button”)[0];

button.addEventListener(“click”, function() {

getACookie();

});

function getACookie() {

fetch(“/get-cookie/”)

.then(response => {

// make sure to check response.ok in the real world!

return response.text();

})

.then(text => console.log(text));

}

当访问http://127.0.0.1:5000/时,我们会看到一个按钮。 通过单击按钮,我们向/get-cookie/发出获取请求并获取Cookie。 正如预期的那样,cookie 落在浏览器的 Cookie storage中。

对 Flask 应用程序进行一些更改,多加一个路由:

from flask import Flask, make_response, request, render_template, jsonify

app = Flask(name)

@app.route(“/”, methods=[“GET”])

def index():

return render_template(“index.html”)

@app.route(“/get-cookie/”, methods=[“GET”])

def get_cookie():

response = make_response(“Here, take some cookie!”)

response.set_cookie(key=“id”, value=“3db4adj3d”)

return response

@app.route(“/api/cities/”, methods=[“GET”])

def cities():

if request.cookies[“id”] == “3db4adj3d”:

cities = [{“name”: “Rome”, “id”: 1}, {“name”: “Siena”, “id”: 2}]

return jsonify(cities)

return jsonify(msg=“Ops!”)

另外,调整一下 JS 代码,用于下请求刚新增的路由:

const button = document.getElementsByTagName(“button”)[0];

button.addEventListener(“click”, function() {

getACookie().then(() => getData());

});

function getACookie() {

return fetch(“/get-cookie/”).then(response => {

// make sure to check response.ok in the real world!

return Promise.resolve(“All good, fetch the data”);

});

}

function getData() {

fetch(“/api/cities/”)

.then(response => {

// make sure to check response.ok in the real world!

return response.json();

})

.then(json => console.log(json));

当访问http://127.0.0.1:5000/时,我们会看到一个按钮。 通过单击按钮,我们向/get-cookie/发出获取请求以获取Cookie。 Cookie出现后,我们就会对/api/cities/再次发出Fetch请求。

在浏览器的控制台中,可以看到请求回来 的数据。另外,在开发者工具的Network选项卡中,可以看到一个名为Cookie的头,这是通过AJAX请求传给后端。

只要前端与后端在同一上下文中,在前端和后端之间来回交换cookie就可以正常工作:我们说它们来自同一源。

这是因为默认情况下,Fetch 仅在请求到达触发请求的来源时才发送凭据,即 Cookie

cookie 不能总是通过AJAX请求传递

考虑另一种情况,在后端独立运行,可以这样启动应用程序:

FLASK_ENV=development FLASK_APP=flask_app.py flask run

现在,在 Flask 应用程序之外的其他文件夹中,创建index.html

Title

FETCH

使用以下代码在同一文件夹中创建一个名为index.js的 JS 文件:

button.addEventListener(“click”, function() {

getACookie().then(() => getData());

});

function getACookie() {

return fetch(“http://localhost:5000/get-cookie/”).then(response => {

// make sure to check response.ok in the real world!

return Promise.resolve(“All good, fetch the data”);

});

}

function getData() {

fetch(“http://localhost:5000/api/cities/”)

.then(response => {

// make sure to check response.ok in the real world!

return response.json();

})

.then(json => console.log(json));

}

在同一文件夹中,从终端运行:

npx serve

此命令为您提供了要连接的本地地址/端口,例如http://localhost:42091/。 访问页面并尝试在浏览器控制台打开的情况下单击按钮。 在控制台中,可以看到:

Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at http://localhost:5000/get-cookie/. (Reason: CORS header ‘Access-Control-Allow-Origin’ missing)

因为 http://localhost:5000/http://localhost:42091/.不同。 它们是不同的域,因此会 CORS 的限制。

处理 CORS

CORS 是一个 W3C 标准,全称是“跨域资源共享”(Cross-origin resource sharing)。它允许浏览器向跨域的服务器,发出XMLHttpRequest请求,从而克服了 AJAX 只能同源使用的限制。

整个 CORS 通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS 通信与普通的 AJAX 通信没有差别,代码完全一样。浏览器一旦发现 AJAX 请求跨域,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感知。因此,实现 CORS 通信的关键是服务器。只要服务器实现了 CORS 接口,就可以跨域通信。

默认情况下,除非服务器设置了Access-Control-Allow-Origin的特定HTTP标头,否则浏览器将阻止AJAX对非相同来源的远程资源的请求。

要解决此第一个错误,我们需要为Flask配置CORS:

pip install flask-cors

然后将 CORS 应用于 Flask:

from flask import Flask, make_response, request, render_template, jsonify

from flask_cors import CORS

app = Flask(name)

CORS(app=app)

@app.route(“/”, methods=[“GET”])

def index():

return render_template(“index.html”)

@app.route(“/get-cookie/”, methods=[“GET”])

def get_cookie():

response = make_response(“Here, take some cookie!”)

response.set_cookie(key=“id”, value=“3db4adj3d”)

return response

@app.route(“/api/cities/”, methods=[“GET”])

def cities():

if request.cookies[“id”] == “3db4adj3d”:

cities = [{“name”: “Rome”, “id”: 1}, {“name”: “Siena”, “id”: 2}]

return jsonify(cities)

return jsonify(msg=“Ops!”)

现在尝试在浏览器控制台打开的情况下再次单击按钮。在控制台中你应该看到

Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at http://localhost:5000/api/cities/. (Reason: CORS header ‘Access-Control-Allow-Origin’ missing)

尽管我们犯了同样的错误,但这次的罪魁祸首是第二个路由。

你可以通过查看 “Network” 标签中的请求来确认,没有发送此类Cookie:

为了在不同来源的Fetch请求中包含cookie,我们必须提credentials 标志(默认情况下,它是相同来源)。

如果没有这个标志,Fetch 就会忽略 cookie,可以这样修复:

const button = document.getElementsByTagName(“button”)[0];

button.addEventListener(“click”, function() {

getACookie().then(() => getData());

});

function getACookie() {

return fetch(“http://localhost:5000/get-cookie/”, {

credentials: “include”

}).then(response => {

// make sure to check response.ok in the real world!

return Promise.resolve(“All good, fetch the data”);

});

}

function getData() {

fetch(“http://localhost:5000/api/cities/”, {

credentials: “include”

})

.then(response => {

// make sure to check response.ok in the real world!

return response.json();

})

.then(json => console.log(json));

}

credentials: "include" 必须在第一个 Fetch 请求中出现,才能将Cookie保存在浏览器的Cookie storage 中:

fetch(“http://localhost:5000/get-cookie/”, {

credentials: “include”

})

它还必须在第二个请求时出现,以允许将cookie传输回后端

fetch(“http://localhost:5000/api/cities/”, {

credentials: “include”

})

再试一次,我们还需要在后端修复另一个错误:

Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at http://localhost:5000/get-cookie/. (Reason: expected ‘true’ in CORS header ‘Access-Control-Allow-Credentials’).

为了允许在CORS请求中传输cookie,后端还需要设置 Access-Control-Allow-Credentials标头。

CORS(app=app, supports_credentials=True)

要点:为了使Cookie在不同来源之间通过AJAX请求传递,可以这样做:

  • credentials: “include” 用于前端的 fetch 请求中

  • Access-Control-Allow-CredentialsAccess-Control-Allow-Origin 用于后端

cookie可以通过AJAX请求传递,但是它们必须遵守我们前面描述的域规则。

Cookie 的 Secure 属性

Secure 属性是说如果一个 cookie 被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用 http 协议是不发送的。换句话说,cookie 是在https的情况下创建的,而且他的Secure=true,那么之后你一直用https访问其他的页面(比如登录之后点击其他子页面),cookie会被发送到服务器,你无需重新登录就可以跳转到其他页面。但是如果这是你把url改成http协议访问其他页面,你就需要重新登录了,因为这个cookie不能在http协议中发送。

可以这样设置 Secure 属性

response.set_cookie(key=“id”, value=“3db4adj3d”, secure=True)

如果要在真实环境中尝试,请可以运行以下命令,并注意curl在此处是不通过HTTP保存cookie:

curl -I http://serene-bastion-01422.herokuapp.com/get-secure-cookie/ --cookie-jar -

相反,通过HTTPS,cookie 出现在cookie jar中:

curl -I https://serene-bastion-01422.herokuapp.com/get-secure-cookie/ --cookie-jar -

cookie jar 文件:

serene-bastion-01422.herokuapp.com FALSE / TRUE 0

不要被Secure欺骗:浏览器通过HTTPS接受cookie,但是一旦cookie进入浏览器,就没有任何保护。

因为带有 Secure 的 Cookie 一般也不用于传输敏感数据.

Cookie 的 HttpOnly 属性

如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。

XSS 全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。

如果有设置 HttpOnly 看起来是这样的:

Set-Cookie: “id=3db4adj3d; HttpOnly”

在 Flask 中

response.set_cookie(key=“id”, value=“3db4adj3d”, httponly=True)

这样,cookie 设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息。如果在控制台中进行检查,则document.cookie将返回一个空字符串。

小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数初中级前端工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年Web前端开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。

img
img
img
img

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频

如果你觉得这些内容对你有帮助,可以添加下面V无偿领取!(备注:前端)
img

iteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。

如果有设置 HttpOnly 看起来是这样的:

Set-Cookie: “id=3db4adj3d; HttpOnly”

在 Flask 中

response.set_cookie(key=“id”, value=“3db4adj3d”, httponly=True)

这样,cookie 设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息。如果在控制台中进行检查,则document.cookie将返回一个空字符串。

小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数初中级前端工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年Web前端开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。

[外链图片转存中…(img-uC1lh6fb-1710926350657)]
[外链图片转存中…(img-WXUgLuc9-1710926350658)]
[外链图片转存中…(img-K55iVqKB-1710926350658)]
[外链图片转存中…(img-FQzLV3eS-1710926350659)]

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频

如果你觉得这些内容对你有帮助,可以添加下面V无偿领取!(备注:前端)
[外链图片转存中…(img-lZfyUlsh-1710926350659)]

嘻嘻哈哈学编程
关注
  • 20
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Httphttp请求的cookie
It_sharp的博客
08-27 1914
Cookie的作用 Cookie是用于维持服务端会话状态的,通常由服务端写入,在后续请求中,供服务端读取。 HTTP请求,Cookie的使用过程 1、server通过HTTP Response中的”Set-Cookie: header”把cookie发送给client 2、client把cookie通过HTTP Request 中的“Cookie: header”发送给server...
http请求什么情况下会携带cookie
liuqinhou的博客
01-02 1898
网络
如何使用Cookie?
最新发布
qq_65142821的博客
12-27 720
http协议是一个无状态的协议,你每一个跳转到下一个页面的时候都是需要先登录才能使用,这样就很麻烦比如淘宝,没有cookie和session的话,用户在首页已经登录上去了,但是需要再次登录才能选择商品,需要再次登录才能放到购物车,需要再次登录才能然后购买,这样用户的体验是相当差的。
Http协议中Cookie详细介绍
weixin_30448685的博客
03-19 592
Cookie总是保存在客户端中,按在客户端中的存储位置,可分为内存Cookie和硬盘Cookie。内存Cookie由浏览器维护,保存在内存中,浏览器关闭后就消失了,其存在时间是短暂的。硬盘Cookie保存在硬盘里,有一个过期时间,除非用户手工清理或到了过期时间,硬盘Cookie不会被删除,其存在时间是长期的。所以,按存在时间,可分为非持久Cookie和持久CookieHTTP请求+co...
http协议 cookie设置
12-16 748
在bs的架构中,浏览器作为客户端,与服务器之间通过session保持连接状态。 以前面试的时候,经常被问及一个问题:浏览器禁止cookie时,服务器与客户端浏览器能否保持session连接? 其实要完全回答正确这个问题,需要对cookie的作用有全面的了解。 具体cookie的解释大家可以google一下。我以前一直有一个误解(估计很多人都有), 以为cookie就是一个文件,用来保存
HTTP 20 道面试题及答案.docx
07-09
9. **TCP和UDP的区别:** TCP是面向连接的,提供可靠的数据传输,而UDP是无连接的,数据传输速度较快但不保证数据完整性。 10. **HTTP报文:** 包括请求报文和响应报文,由起始行、头部和主体组成。起始行描述请求...
cookie-guide:完整cookie指南
05-27
**Cookie 指南:全面理解与应用** Cookie 是一种在客户端和服务器之间传递信息的小型文本文件,常用于管理用户会话、存储用户偏好设置或跟踪用户行为。本指南将深入探讨Cookie的工作原理、创建与管理方法以及在...
最新大厂前端面试题-面试指南Http面试题.docx
06-06
HTTP 面试指南 从给定的文件中,我们可以提炼出以下知识点: 1. HTTP 请求报文由哪三部分构成? 答案:请求行、请求头、请求体(请求数据)。 2. HTTP 的状态码有哪些? 答案:包括 200(OK)、400(Bad ...
详解HTTP Cookie状态管理机制
10-22
HTTP Cookie是一种用于在客户端和服务器之间存储和管理状态信息的技术,最早由网景公司的Lou Montulli在1993年发明,以解决HTTP协议无状态的问题。HTTP本身不保存任何关于用户会话的信息,因此当用户在网站上进行多...
根据http获取cookie内容代码
11-02
将`Set-Cookie`字段解析后的各个Cookie实例化为`Cookie`对象,然后存入一个容器,如`std::vector<Cookie>`或`std::unordered_map, Cookie>`,其中键为Cookie名称。 4. **发送Cookie**:在后续的HTTP请求中,需要将...
java http设置cookies,如何设置CookieHttp Get方法使用Java
weixin_39531604的博客
02-13 772
I want to do a manual GET with cookies in order to download and parse a web page. I need to extract the security token, in order to make a post at the forum. I have completed the login, have read the ...
使用httpclient进行 Http get请求带参数cookie
一直在学习博客
08-25 5061
使用httpclient进行 Http get请求带参数cookie 常用的工具类,所有的包配置如下 <!--解析json使用--> <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifac...
HttpClient使用cookie
weixin_30478923的博客
10-11 103
import java.io.IOException; import java.util.ArrayList; import java.util.List; import java.util.Map; import org.apache.http.HttpResponse; import org.apache.http.NameValuePair; import org.apa...
java通过 httpclient 发送post/get/存储cookies
qq_43180307的博客
01-21 1533
java 模拟http发动请求并存储cookies
实用完整HTTP cookie指南
粉丝们务必加入微信粉丝群
08-25 3271
作者:valentinog 译者:前端小智 来源:valentinog 点赞再看,微信搜索 【大迁世界】 关注这个没有大厂背景,但有着一股向上积极心态人。本文 GitHub https://github.com/qq449245884/xiaozhi 上已经收录,文章的已分类,也整理了很多我的文档,和教程资料。 Web 开发中的 cookie 是什么? cookie 是后端可以存储在用户浏览器中的小块数据。 Cookie 最常见用例包括用户跟踪,个性化以及身份验证。 Cookies 具有很多隐私问.
【P6】JMeter HTTP Cookie管理器(HTTP Cookie Manager)
qq_45138120的博客
05-04 1万+
JMeter HTTP Cookie管理器
HTTP系列之:HTTP中的cookies
程序那些事
09-02 1万+
如果小伙伴最近有访问国外的一些标准网站的话,可能经常会弹出一个对话框,说是本网站为了更好的体验和跟踪,需要访问你的cookies,问你同意不同意,对于这种比较文明的做法,我一般是点同意的。
HTTP Cookie 详解二
热门推荐
我的未来从这里开始
03-26 2万+
今天webryan给team做了一个关于HTTP cookie的分享,从各个方面给大家介绍一下大家耳熟能详的Cookie。主要是翻了维基百科的很多内容,因为维基百科的逻辑实在是很清晰:),ppt就不分享了,把原始的草稿贴出来给大家。欢迎批评指正。 HTTP Cookie: Cookie通常也叫做网站cookie,浏览器cookie或者http cookie,是保存在用户浏览器端的,并在发出
nginx问题一则:nginx路径匹配特殊处理及增加cookie等二三事
wejack的专栏
05-25 1123
有一个需求需要统一账号的登录,但是第三方应用的原生的登录界面登录以后,会被公司的前端检测没有登录的cookie拦截而跳转到公司自己的登录页面,因为是原生页面,所以只好后端处理这个cookie。由于不想在后台的java代码中增加相应的处理,所以在nginx上面打主意。 #/login路径跳转到 /login.html中 location ^~/login { rewrite ^(.*)$ /$1.html last; } #处理.html的路径 location ~ \.(html)$ { .
HTTP权威指南:深度解析Web技术
"HTTP权威指南中文完整版,由[美]David Gourley, Brian Totty, Marjorie Sayer, Sailu Reddy, Anshu Aggarwal著,陈涓,赵振平译,是图灵程序设计丛书中的一本,由人民邮电出版社出版。该书详细阐述了HTTP协议及其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值