Http协议基础之为 Cookie 服务的首部字段

于 2017-06-10 17:28:32 发布
阅读量522 收藏
点赞数
分类专栏: HTTP基础 文章标签: http协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq402164452/article/details/72992479
版权

管理服务器与客户端之间状态的 Cookie,虽然没有被编入标准化 HTTP/1.1 的 RFC2616 中,但在 Web 网站方面得到了广泛的应用。

Cookie 的工作机制是用户识别及状态管理。Web 网站为了管理用户的状态会通过 Web 浏览器,把一些数据临时写入用户的计算机内。接着当用户访问该Web网站时,可通过通信方式取回之前发放的 Cookie。

调用 Cookie 时,由于可校验 Cookie 的有效期,以及发送方的域、路径、协议等信息,所以正规发布的 Cookie 内的数据不会因来自其他 Web 站点和攻击者的攻击而泄露。

下面的表格内列举了与 Cookie 有关的首部字段。

首部字段名说明首部类型
Set-Cookie开始状态管理所使用的Cookie信息响应首部字段
Cookie服务器接收到的Cookie信息请求首部字段

Set-Cookie: status=enable; expires=Tue, 05 Jul 2011 07:26:31 GMT; path=/; domain=.hackr.jp;

当服务器准备开始管理客户端的状态时,会事先告知各种信息。

下面的表格列举了 Set-Cookie 的字段值。

属性说明
NAME=VALUE赋予 Cookie 的名称和其值(必需项)
expires=DATECookie 的有效期(若不明确指定则默认为浏览器关闭前为止)
path=PATH将服务器上的文件目录作为Cookie的适用对象(若不指定则默认为文档所在的文件目录)
domain=域名作为 Cookie 适用对象的域名 (若不指定则默认为创建 Cookie 的服务器的域名)
Secure仅在 HTTPS 安全通信时才会发送 Cookie
HttpOnly加以限制,使 Cookie 不能被 JavaScript 脚本访问

  • expires 属性
    Cookie 的 expires 属性指定浏览器可发送 Cookie 的有效期。

  • 当省略 expires 属性时,其有效期仅限于维持浏览器会话(Session)时间段内。这通常限于浏览器应用程序被关闭之前。

    另外,一旦 Cookie 从服务器端发送至客户端,服务器端就不存在可以显式删除 Cookie 的方法。但可通过覆盖已过期的 Cookie,实现对客户端 Cookie 的实质性删除操作。

  • path 属性
    Cookie 的 path 属性可用于限制指定 Cookie 的发送范围的文件目录。不过另有办法可避开这项限制,看来对其作为安全机制的效果不能抱有期待。

  • domain 属性
    通过 Cookie 的 domain 属性指定的域名可做到与结尾匹配一致。比如,当指定 example.com 后,除 example.com 以外,www.example.com 或 www2.example.com 等都可以发送 Cookie。

  • 因此,除了针对具体指定的多个域名发送 Cookie 之 外,不指定 domain 属性显得更安全。

  • secure 属性
    Cookie 的 secure 属性用于限制 Web 页面仅在 HTTPS 安全连接时,才可以发送 Cookie。

  • 发送 Cookie 时,指定 secure 属性的方法如下所示。

    Set-Cookie: name=value; secure

    以上例子仅当在 https://www.example.com/(HTTPS)安全连接的情况下才会进行 Cookie 的回收。也就是说,即使域名相同,http://www.example.com/(HTTP)也不会发生 Cookie 回收行为。

    当省略 secure 属性时,不论 HTTP 还是 HTTPS,都会对 Cookie 进行回收。

  • HttpOnly 属性
    Cookie 的 HttpOnly 属性是 Cookie 的扩展功能,它使 JavaScript 脚本无法获得 Cookie。其主要目的为防止跨站脚本攻击(Cross-site scripting,XSS)对 Cookie 的信息窃取。

  • 发送指定 HttpOnly 属性的 Cookie 的方法如下所示。

    Set-Cookie: name=value; HttpOnly

    通过上述设置,通常从 Web 页面内还可以对 Cookie 进行读取操作。但使用 JavaScript 的 document.cookie 就无法读取附加 HttpOnly 属性后的 Cookie 的内容了。因此,也就无法在 XSS 中利用 JavaScript 劫持 Cookie 了。

    虽然是独立的扩展功能,但 Internet Explorer 6 SP1 以上版本等当下的主流浏览器都已经支持该扩展了。另外顺带一提,该扩展并非是为了防止 XSS 而开发的。

    Cookie: status=enable

    首部字段 Cookie 会告知服务器,当客户端想获得 HTTP 状态管理支持时,就会在请求中包含从服务器接收到的 Cookie。接收到多个 Cookie 时,同样可以以多个 Cookie 形式发送。

JasonChen嘉生
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTP详解--为Cookie服务首部字段(13)
老赫的私人厨房
10-28 984
Cookie服务首部字段 首部字段名说明首部类型Set-Cookie开始状态管理所使用的Cookie信息响应首部字段Cookie服务器接收到的Cookie信息请求首部字段Set-Cookie 示例: 作用:当服务器准备开始管理客户端的状态时,会视线告知各种信息 Set-Cookie字段的属性 属性说明NAME
HTTP报头中为cookie服务首部字段
半暖的博客
08-20 1078
Cookie的工作机制是用户识别和状态管理。Web网站为了管理用户的状态,会通过Web服务器,把一些数据临时写入用户的计算机内。当用户访问该Web网站时,可通过通信方式取回之前存放的Cookie。调用Cookie是,由于可校验Cookie的有效期,,以及发送方的域、路径、协议等,所以正规发布的Cookie内的数据不会因为来自其他Web站点和攻击者的攻击而泄漏。 Set-Cookie字段的属性 ...
6.6 为Cookie服务首部字段
sinat_34927324的博客
02-04 600
Cookie服务的两个首部字段
WEB协议——HTTP协议
01-08
文章目录HTTP协议GET vs POSTPUTHEADDELETEcookieWWW的三项构建技术URI与URLHTTP报文HTTP状态码功能状态码的类别HTTP报文首部4种首部字段类型通用首部字段表Cache-ControlConnectionDateTransfer-...
http.rar_HTTP协议
09-19
6. **首部字段**:请求和响应中都可以包含多个首部字段,用于传递额外信息,如Accept定义接受的媒体类型,Content-Type指定数据的格式,Cookie用于会话管理等。 7. **缓存机制**:HTTP支持缓存,通过Cache-Control...
http.rar_HTTP_HTTP ppt_HTTP协议
09-22
HTTP(超文本传输协议,Hypertext Transfer Protocol)是互联网上应用最为广泛的一种网络协议,它是Web服务基础,用于在Web浏览器和服务器之间传输数据。本资料“http.rar”包含了对HTTP协议的深入讲解,主要以PDF...
RFC2616_HTTP.rar_RFC2616_http 协议
09-23
首部字段在HTTP通信中扮演着重要角色,它们提供了关于请求或响应的额外信息,如Accept首部用于指定客户端接受的数据类型,Content-Type首部指示消息体的数据类型,Cookie和Set-Cookie首部用于管理客户端和服务器之间...
HTTPdemo_HTTP协议_TheProgram_demoprogram_
10-02
HTTP协议的请求报文由三部分组成:起始(包含请求方法和请求URI)、首部字段(包含了请求的附加信息,如User-Agent、Accept、Cookie等)和消息主体(如果请求方法是POST或者PUT,消息主体通常包含要发送的数据)。...
Http协议基础之HTTP通用首部字段
qq402164452的博客
06-09 962
通用首部字段通用首部字段是指,请求报文和响应报文双方都会使用的首部。Cache-Control通过指定首部字段 Cache-Control 的指令,就能操作缓存的工作机制。 指令的参数是可选的,多个指令之间通过“,”分隔。首部字段 Cache-Control 的指令可用于请求及响应时。 Cache-Control: private, max-age=0, no-cache Cache-Cont
Http协议基础之实体首部字段
qq402164452的博客
06-10 947
实体首部字段实体首部字段是包含在请求报文和响应报文中的实体部分所使用的首部,用于补充内容的更新时间等与实体相关的信息。Allow Allow: GET, HEAD 首部字段 Allow 用于通知客户端能够支持 Request-URI 指定资源的所有 HTTP 方法。当服务器接收到不支持的 HTTP 方法时,会以状态码 405 Method Not Allowed 作为响应返回。与此同时,还会把所
Http协议基础之HTTP响应首部字段
qq402164452的博客
06-10 847
响应首部字段响应首部字段是由服务器端向客户端返回响应报文中所使用的字段,用于补充响应的附加信息、服务器信息,以及对客户端的附加要求等信息。Accept-Ranges Accept-Ranges: bytes 首部字段 Accept-Ranges 是用来告知客户端服务器是否能处理范围请求,以指定获取服务器端某个部分的资源。可指定的字段值有两种,可处理范围请求时指定其为 bytes,反之则指定其为
Http协议基础之HTTP请求首部字段
qq402164452的博客
06-10 844
请求首部字段请求首部字段是从客户端往服务器端发送请求报文中所使用的字段,用于补充请求的附加信息、客户端信息、对响应内容相关的优先级等内容。Accept Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8 Accept 首部字段可通知服务器,用户代理能够处理的媒体类型及媒体类型的相对优先级。可使用 type/s
Http协议基础之HTTP首部
qq402164452的博客
06-09 524
HTTP 报文首部HTTP 协议的请求和响应报文中必定包含 HTTP 首部首部内容为客户端和服务器分别处理请求和响应提供所需要的信息。对于客户端用户来说,这些信息中的大部分内容都无须亲自查看。报文首部由几个字段构成。 HTTP 请求报文 在请求中,HTTP 报文由方法、URI、HTTP 版本、HTTP 首部字段等部分构成。 HTTP 响应报文 在响应中,HTTP 报文由 HTTP 版本、状
Http协议基础之响应状态码
qq402164452的博客
06-09 469
HTTP状态码HTTP状态码负责表示客户端HTTP请求的返回结果、标记服务器端的处理是否正常、通知出现的错误等工作。HTTP状态码的职责是当客户端向服务器端发送请求时,描述返回的请求结果。借助状态码,用户可以知道服务器端是正常处理了请求,还是出现了错误。 HTTP状态以3位数字和原因短语组成,如200 OK。 数字中的第一位指定了响应类别,后两位无分类。响应类别有以下5种。 HTTP状态码
前端分析-202307110072
最新发布
08-22
前端分析-202307110072
JavaScript中的正则表达式是一种强大的文本处理工具.docx
08-22
JavaScript 中的正则表达式(Regular Expressions)是一种强大的文本处理工具,它们提供了一种方式来匹配字符串中的字符组合。这些模式被用于搜索、编辑或操作文本和数据。正则表达式由一系列特殊字符和普通字符组成,用于定义这些模式。 基本语法 正则表达式的创建可以通过两种方式: 字面量语法:使用 / 包围表达式,例如 let regex = /abc/;。 构造函数:使用 RegExp 对象的构造函数,例如 let regex = new RegExp('abc');。 特殊字符 .:匹配除换符之外的任何单个字符。 ^:匹配输入字符串的开始位置。如果设置了 m 标志,^ 还会匹配 \n 或 \r 之后的位置。 $:匹配输入字符串的结束位置。如果设置了 m 标志,$ 还会匹配 \n 或 \r 之前的位置。 *:匹配前面的子表达式零次或多次。 +:匹配前面的子表达式一次或多次。 ?:匹配前面的子表达式零次或一次。 {n}:n 是一个非负整数。匹配确定的 n 次。 {n,}:n 是一个非负整数。至少匹配 n 次。 {n,m}:m 和 n 均为非负整数,其中 n <=
Agent,带有Code执能力的示例代码
08-22
Agent,带有Code执能力的示例代码
excel100-master (29).zip
08-22
excel
HTTP报文结构与首部字段详解
HTTP协议是互联网上应用最广泛的一种网络协议,全称为超文本传输协议(HyperText Transfer Protocol)。它定义了客户端(通常是浏览器)与服务器之间交换数据的格式和交互规则。HTTP协议基于TCP/IP协议,用于传输超...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值