浏览器 cookie 的原理(详)

已于 2023-12-23 13:45:52 修改
阅读量1.9k 收藏 22
点赞数 27
分类专栏: interview 浏览器 文章标签: 前端 cookie 浏览器 session
于 2023-12-23 02:07:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40147756/article/details/135142863
版权

目录

整理和测试花了很大时间,如果对你有帮助,可以点个关注哇,也有其他干货哦~

1,cookie 的出现

浏览器和服务器之间的传输使用的 HTTP 协议,而它是无状态的。也就是说,每个请求都是独立的,服务器并不知道2次请求是否是同一个人。

为了解决这个问题,服务器想了一个办法:

当客户端登录成功后,服务器会给客户端一个令牌凭证 token;客户端后续的请求都需要带着这个 token 在服务器做验证。

但用户不可能只在一个网站登录,于是客户端会收到各个网站的出入证 token。所以客户端需要一个 “卡包” 来实现以下功能:

  • 能够存放多个 token,token 可能来自不同的网站,也可能一个网站有多个 token。
  • 能够自动出示正确的 token,客户端访问不同网站时,会自动在请求中带着对应的 token。
  • 管理 token 的有效期,客户端需要自动发现那些过期的 token 并移除。

满足上述要求的就是 cookie,每一个 token 就是一个 cookie。

每个网站的 cookie 大小不超过 4kb。

2,cookie 的组成

每一个 cookie 都记录了以下信息:(除了 key 和 value,其他非必填+顺序无关)

  1. key:键,比如表示身份编号的字符串 token

  2. value:值,比如 123abc,它可以是任何字符串。

  3. domain:主机(域),表示这个 cookie 是属于哪个网站的,比如 www.csdn.net。【默认值:当前主机,也就是 location.hostMDN参考

  4. path:路径,表示这个 cookie 是属于该网站的哪个路径。【默认值:实测发现是 cookie 所处目录的上级目录。比如页面是 http://localhost:3001/a/api/login,则 path 为 /a/api

  5. secure:是否使用安全传输。MDN参考

  6. httpOnly:表示该 cookie 仅能用于传输,而客户端通过 document.cookie 获取的是空字符串,这对防止跨站脚本攻击(XSS)会很有用。

    XSS:比如当前页面打开 iframe,iframe 可以获取父级的 cookie。设置 httponly 可以不允许 js 获取来防止跨站脚本攻击。

  7. expires:过期时间,表示该 cookie 在什么时候过期。MDN 参考

  8. max-age:有效期。【默认值:如果 expiresmax-age 都不设置,则为 session,也就是会话结束后过期,大多浏览器关闭(注意不是标签页关闭)意味着会话结束。如果设置其中一个,cookie 会保存在硬盘中,即便电脑关闭也不会消失。】
    在这里插入图片描述

    expiresmax-age 一般只设置一个即可。

浏览器自动发送 cookie 的条件

需要同时满足以下4个条件:

  1. 没有过期。
    • expires 必须是一个有效的GWT时间,格林威治标准时间字符串,比如 Fri, 22 Dec 2023 17:09:13 GMT到期后浏览器会自动删除
    new Date().toGMTString() // Fri, 22 Dec 2023 17:09:13 GMT
// 对比常见的时间格式:
new Date() // Sat Dec 23 2023 01:09:13 GMT+0800 (中国标准时间)
    • max-age 是相对有效期,比如 max-age=1000,相当于设置 expires=当前时间 + 1000s
  2. domain 字段和这次请求的域是匹配的。
    • 设置的 domain 是 csdn.net,则可匹配的请求域有:csdn.netwww.csdn.netblogs.csdn.net等。
    • 设置的 domain 是www.csdn.net,则只能匹配 www.csdn.net 这样的请求域。
    • cookie 是不关心端口的,只要域匹配即可。(所以端口不同导致非同源而产生的跨域并不影响。)
    • 无效的域,浏览器的是不认的。比如对 https://search.jd.com/Search?keyword=xxx 网页来说:

在这里插入图片描述

【翻译:通过 Set-Cookie 标头设置 cookie 的尝试被阻止,因为其域对于当前域无效】
  1. path 字段和这次请求的 path 也是匹配的。/ 表示匹配所有。如果是 /docs
    • 匹配的路径:/docs/docs//docs/Web//docs/Web/HTTP
    • 不匹配的路径://docsets/fr/docs
  2. secure 字段验证。设置该字段,则请求协议必须是 https(否则不发送 cookie);不设置则请求协议可以是 https 或 http。

浏览器会将符合条件的 cookie,自动添加到请求头 Cookie 中。下图可以看到有3个满足的 cookie,以 ; 分隔。

在这里插入图片描述

3,设置 cookie

cookie 是保存在浏览器端的,有2种设置模式:

  • 服务器设置:通过设置响应头 set-cookie: 123abc,浏览器会自动保存在 “卡包” 中。查看方式:控制台–>Application–> Storage–>Cookies
  • 浏览器设置:这种情况比较少见。举例:用户关闭了广告时勾选了【不喜欢】或其他原因,就可以把这种小信息直接通过 js 保存到 cookie 中。后续请求服务器时,服务器会根据这个信息调整广告投放。

3.1,服务端设置

可在一次响应中设置多个 cookie。格式如下:

=; path=?; domain=?; expires=?; max-age=?; secure; httponly

举例:

// 服务端
const Koa = require("koa");
const Router = require("koa-router");
const { bodyParser } = require("@koa/bodyparser");

const app = new Koa();
const router = new Router();

router.post("/api/login", (ctx) => {
  const { name, pwd } = ctx.request.body;
  if (name === "下雪天的夏风" && pwd === "123") {
    ctx.set("set-cookie", 'token=aaa; domain=localhost; max-age=3600;secure; httponly');
    ctx.body = "登录成功";
  } else {
    ctx.body = {
      code: 500,
      msg: "用户名或密码错误",
    };
  }
});

router.get("/api/home", (ctx) => {
  ctx.body = "home";
});

app.use(bodyParser()).use(router.routes());
app.listen(3000);

<!-- 前端 -->
<form action="http://localhost:3000/api/login" method="post" target="_blank">
  <input type="text" name="name" />
  <input type="password" name="pwd" />
  <button>提交</button>
</form>

form 表单发送请求登录成功后,会自动跳转到页面 http://localhost:3000/api/login,可以看到 cookie 已经设置了:

在这里插入图片描述

  • 注意到 path 的默认值是 cookie 所处目录的上级目录。
  • expires/max-age 的时间格式保存为 ISO国际标准时间
new Date() // Sat Dec 23 2023 01:27:53 GMT+0800 (中国标准时间)
new Date().toISOString() // 2023-12-22T17:27:53.738Z
new Date().toGMTString() // Fri, 22 Dec 2023 17:27:53 GMT

再次访问 http://localhost:3000/api/home 时,会发现请求头中自动带上了 cookie:

在这里插入图片描述

3.1,客户端设置

格式和在服务端相同,只是 httponly 字段无效。因为该字段本来就是限制在客户端访问的,客户端设置它没有意义。

document.cookie = 'token=aaa; domain=localhost;secure;httponly'

在这里插入图片描述

3.3,删除 cookie

可以修改 cookie 的过期时间即可:max-age=-1。浏览器会自动删除。

可以让服务器响应一个同样的 domain、同样的 path、同样的 key,只是时间过期的 cookie 即可。

以上面的例子来说,设置如下:

ctx.set("set-cookie", 'token=aaa; domain=localhost; max-age=-1');

或客户端删除:

document.cookie = 'token=aaa; domain=localhost; max-age=-1'

注意:无论是修改还是删除,都需要注意 domain 和 path,因为可能存在 domain 和 path 不同但 key 相同的 cookie。

4,使用流程总结

登录 / 注册请求

  1. 浏览器发送用户名和密码到服务器。
  2. 服务器验证通过后,在响应头中设置 cookie,附带登录认证信息(一般为 jwt)。
  3. 浏览器收到 cookie 保存下来。

后续请求,浏览器会自动将符合的 cookie 附带到请求中;服务器验证 cookie 后,允许其他操作完成业务流程。

以上。

下雪天的夏风
关注
  • 27
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
浏览器Cookie
qq_41968663的博客
02-18 1万+
一、什么是 CookieCookie 是通过浏览器将服务器返回的数据保存在本地的一小块数据(一般小于4kb)。当浏览器发送请求且浏览器存在 Cookie 时,浏览器会自动在请求头携带上 Cookie 数据。引入 Cookie 的意义是因为 HTTP 的请求是无状态的,如:浏览器发出的请求服务器没办法区分浏览器用户身份以及用户的相关操作状态(可以通过 Cookie 传递这些信息)。最开始 Cookie 被作为唯一的存储手段,但是因为浏览器的每次请求都会携带上 Cookie,会带来额外的开销,而且存储量比
php获取cookie不成功,php第一次无法获取cookie问题处理
weixin_35379749的博客
03-13 817
php第一次无法获取cookie问题处理首先编写以下简单的代码:复制代码 代码如下:setcookie('a','value');print $_COOKIE['a'];第一次访问时,报错:报错的原因是$_COOKIE['a']的值不存在。第二次访问:问:为什么第一次访问的时候,会没有cookie呢??我不是先设置,再获取吗??答:使用firefox的firebug查看”网络“:客户端:可以看到,...
浏览器Cookie的全面介绍
fengbin2005的专栏
03-07 393
在Web前端开发时,我们经常会遇到一些浏览器存储相关的工具,例如CookieCookie的英文本意是曲奇,但是在Web中,它被用作浏览器中存储的数据。Cookie都是name=value的结构,name和value都为字符串。
浏览器解】Cookie(含Cookie的起源,属性,个数和大小限制,作用,优点,缺点,JS 的操作方法等)
朝阳39的博客
05-30 806
Cookie 是一段不超过 4KB 的小型文本数据,由一个名称(Name)、一个值(Value)和其它几个用于控制 Cookie 有效期、安全性、使用范围的可选属性组成。
浏览器演变史 评1991年以来的浏览器
anjichan4261的博客
09-27 874
http://www.sina.com.cn 2009年08月26日13:40 IT.COM.CN   文/Panx   【IT世界整理】Web浏览器如今可谓遍地开花。 你可以选择精悍的Chrome浏览器。 ...
Cookie会话跟踪技术
liuyingv8的博客
12-22 4472
1. Cookie会话跟踪技术介绍       会话跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份,可以在客户端保存临时数据. Cookie 技术诞生以来,它就成了广大网络用户和 Web 开发人员争论的一个焦点。有一些网络用户,甚至包括一些资深的 Web 专家也对它的产生和推广感到不满,这并
cookie、session和application超解说
泰斗贤若如的博客
08-24 286
cookie、session和application都是些什么神? 前言: 一直想写一篇关于cookie和session的博客,由于种种原因,一直没有整理,这不,今天还就遇到问题了,之前虽然会,但是好久没用又给忘了,结果还得查资料。是时候填坑了,闲话少说,开干。 application Applicatio...
Vue外卖十一:登录成功信息显示、浏览器cookie+后端session登录状态保持
*
12-01 608
一、登录后显示 1)Msite.vue头部登录后信息 <TopHeader :title='address.name'> <!-- 【1】点图标跳转到搜索页 --> <router-link to="/search" class="header_search" slot='left'> <i class="iconfont icon-sousuo"></i> </router-link> <!-- 【3】状态中
session、cookie、token 、JWT
qq_43205267的博客
08-16 488
session、cookie、token 、JWT解 不保存session id 了, 只是生成token , 然后验证token Cookie cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cookie由服务器生成,发送给浏览器浏览器cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不
全网最细总结-Seesion,Cookie以及JWT的区别
qq_42898642的博客
06-14 871
全网最细,关于session,cookie,token的用户认证的原理与区别
Cookie浏览器
02-24
1. **Cookie的定义与工作原理** - Cookie是由Web服务器发送到用户的浏览器并存储在那里的一小块信息,当用户再次访问同一网站时,浏览器会将这些信息返回给服务器。 - 主要分为Session Cookie和Persistent Cookie...
浏览器Cookie一键切换_自动切换用户.mp4
12-21
浏览器可以通过改变Cookie,实现快速切换登录帐号。 即可以点击工具栏Cookie按钮切换帐号, 也可以通过项目管理脚本定时自动切换帐号。 实测结果,适用于大多数网站,论坛等。
IE8 浏览器Cookie的处理
09-06
在本文中,我们将深入探讨IE8浏览器中处理Cookie的一些关键问题和解决方案,以及关于Opacity滤镜的使用。在开发Web应用程序时,尤其是在处理用户交互和界面效果时,这两个方面是至关重要的。 首先,我们来讨论IE8...
百度账号COOKIE登录浏览器
05-24
它强调了该浏览器具备导入和识别百度COOKIE的能力,这样用户在打开浏览器后,可以直接跳过登录步骤,快速访问百度的各项服务,如百度搜索、百度网盘、百度贴吧等,极大地提高了用户体验和效率。 标签“COOKIE浏览器...
C#提取Chrome浏览器Cookie值源码
10-16
在IT领域,尤其是在Web开发和自动化测试中,有时我们需要获取浏览器中的Cookie信息,例如,为了模拟用户登录状态或进行数据抓取。针对这个需求,`C#` 提供了一种方式来读取并解密Chrome浏览器Cookie值。本文将细...
网站基本布局CSS
m0_46608027的博客
07-24 792
* 滚动条轨道样式 *//* 滚动条样式 *//* 滑块样式 */
ASP.NET Web Api 使用 EF 6,DateTime 字段如何取数据库服务器当前时间
最新发布
yangshuquan的专栏
07-24 786
在做数据库设计时,为了方便进行数据追踪,通常会有几个字段是每个表都有的,比如创建时间、创建人、更新时间、更新人等,这些时间字段一般存储的是数据库服务器的时间,EF 是操作整个数据表对象,所以需要寻找方法来实现这个目的。本文分享 DB First 和 Code First 两种模式的 EF 中 DateTime 字段如何存储数据库服务器当前时间的方法。
TS如何处理js模块的类型?
闻人放歌的三寸青草园圃
07-24 255
【代码】TS如何处理js模块的类型?
如何清除浏览器cookie
05-28
清除浏览器cookie的方法因浏览器而异,以下是常见浏览器的操作步骤: - Chrome浏览器:点击浏览器地址栏右侧的三个点图标,选择“更多工具”->“清除浏览数据”,在弹出的窗口中选择“Cookie和其他站点数据”,点击“清除数据”按钮即可。 - Firefox浏览器:点击浏览器地址栏右侧的三个横杠图标,选择“选项”->“隐私与安全”,在“Cookie和站点数据”一栏中点击“清除数据”按钮,勾选“Cookie和站点数据”并点击“清除”按钮即可。 - Safari浏览器:点击菜单栏上的“Safari”->“偏好设置”,在“隐私”一栏中点击“管理网站数据”,选择要清除的cookie并点击“删除”按钮即可。 - Edge浏览器:点击浏览器地址栏右侧的三个点图标,选择“设置”->“隐私、搜索和服务”->“选择清除浏览数据类型”,勾选“Cookie和其他站点数据”并点击“清除”按钮即可。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

下雪天的夏风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值