关于Cookie

于 2024-08-09 19:14:14 发布
阅读量668 收藏 9
点赞数 19
分类专栏: 软件测试 文章标签: 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54161774/article/details/141067411
版权

定义

Cookie,有时也用其复数形式 Cookies。类型为“小型文本文件”(不超过4KB),是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。

Cookie 是一个保存在客户机中的简单的文本文件,这个文件与特定的Web文档关联在一起,保存了该客户机访问这个Web 文档时的信息,当客户机再次访问这个 Web 文档时这些信息可供该文档使用。这里的信息包括缓存数据、用户名、密码、注册账户、手机号等。

简单理解,当注册登录过一个网站后,后面再次进入这个网站,无需再次登录,而是自动登录并进入首页,其中就是浏览器保存了我们的cookie,记录了一些信息。

组成

Cookie 一般是用键值对表示(key-value),如name=jon,name表示名字,值为jon。它由一个名称、一个值和其它几个用于控制Cookie有效期、安全性、使用范围的可选属性组成,其中:

① Name/Value :设置Cookie的名称及相对应的值,对于认证Cookie,Value值包括Web服务器所提供的访问令牌 。

② Domain (/doʊˈmeɪn/):可以访问该Cookie的域名,如设置为".baidu.com",注意第一个字符必须为".",则以它结尾的域名都可访问该Cookie。

③ Path:定义了Web站点上可以访问该Cookie的目录。

④ Expires (/ɪkˈspaɪər/):设置Cookie的生存期,即cookie的过期时间,单位是毫秒。有会话性与持久性两种存储类型,Expires属性缺省时,为会话性Cookie,仅保存在客户端内存中,并在用户关闭浏览器时失效;持久性Cookie会保存在用户的硬盘中,直至生存期到或用户直接在网页中单击“注销”等按钮结束会话时才会失效。

⑤ maxAge :Cookie的最大生命周期,单位是秒。如果为整数,则该Cookie在maxAge秒后失效。默认为-1,若为负数,该Cookie为临时Cookie,关闭浏览器即失效,浏览器也不会以任何形式保存该Cookie。若为0,表示删除该Cookie。

:Cookie使用Expires和maxAge其中任何一个,都可以用来限制Cookie的生效时间。且两者单独设置,各自生效,但一起设置max-age生效。

⑥ Size :指存储在浏览器中的Cookie的大小,通常以字节(bytes)为单位。

⑦ HTTPOnly :用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改,但它的应用仍存在局限性。

⑧ Secure :指定是否使用HTTPS安全协议发送Cookie。使用HTTPS安全协议,可以保护Cookie在浏览器和Web服务器间的传输过程中不被窃取和篡改。

安全威胁

1. Cookie捕获/重放

攻击者可以通过木马等恶意程序,或使用跨站脚本攻击等手段偷窃存放在用户硬盘或内存中的Cookie。对于捕获到的认证Cookie,攻击者往往会猜测其中的访问令牌,试图获取会话ID、用户名与口令、用户角色、时间戳等敏感信息。或者直接重放该Cookie,假冒受害者的身份发动攻击。

2. 恶意 Cookies

在 Cookies 中通过特殊标记语言,引入可执行代码,就很可能给用户造成严重的安全隐患。HTML为区别普通文本和标记语言,用符号“<>”来指示HTML 代码。 这些 HTML 代码或者定义 Web 网页格式,或者引入 Web 浏览器可执行代码段。Web 服务器可以使用Cookies 信息创建动态网页。假使 Cookies 包含可执行恶意代码段,那么在显示合成有该 Cookies 的网页时,就会自动执行这段恶意代码。

3. 会话定置

攻击者向受害者主机注入自己控制的认证Cookie等信息,使得受害者以攻击者的身份登录网站,从而窃取受害者的会话信息。

4. CSRF攻击

跨站请求伪造(Cross-Site Request Forgery,简称CSRF),是指攻击者可能利用网页中的恶意代码强迫受害者浏览器向被攻击的Web站点发送伪造的请求,篡夺受害者的认证Cookie等身份信息,从而假冒受害者对目标站点执行指定的操作。

认证机制

在 Web认证中 ,因为HTTP协议本身的局限,必须采用其他技术将相关认证标记以某种方式持续传送,以免客户从一个页面跳转至另一个页面时重新输入认证信息。基于Cookie的认证过程,主要由以下三个阶段组成:

(1)发布Cookie。当用户试图访问某Web站点中需要认证的资源时,Web服务器会检查用户是否提供了认证Cookie,如果没有,则将用户重定向到登录页面。在用户成功登录后,Web服务器会产生认证Cookie,并通过HTTP响应中的Set-Cookie头发送给客户端,用于对用户随后的请求进行检查和验证,接着将用户重定向到初始请求的资源。

(2)检索Cookie。在用户随后的访问请求中,客户端浏览器检索Path和Domain等属性与用户请求资源相匹配的Cookie,并将找到的Cookie通过HTTP请求中的Cookie头提交给Web服务器。

(3)验证CookieWeb服务器提取客户端浏览器递交的Cookie,验证其中的访问令牌。若合法,则将访问请求的资源发送给客户端浏览器;反之则拒绝用户的访问请求。Cookie 认证技术简化了用户访问 Web 网站资源的过程,即用户只需在初次登录网站时输入身份信息进行认证,随后便可以访问被授权的所有站点资源,不再需要重复手工提交身份信息。

应用

主要有以下三个方面:

① 会话状态管理(如用户登录状态、购物车、游戏分数或其它需要记录的信息)

② 个性化设置(如用户自定义设置、主题等)

③ 浏览器行为跟踪(如跟踪分析用户行为等)

DMiB
关注
专栏目录
JAVA中Cookie MaxAge属性及其使用
念念不忘,必有回响。
11-02 2234
API文档中对MaxAge的描述: public void setMaxAge(int expiry) Sets the maximum age of the cookie in seconds. A positive valueindicates that the cookie will expire after that many seconds have passed. Note that the value is the maximum age when the cookie will ex.
php cookie max age,使用spring-session时,动态修改cookiemax-age
weixin_42351363的博客
03-19 1211
使用spring-session时,动态修改cookiemax-age不论是使用spring提供的spring-session,还是使用servle容器实现的http session。原理都是把session-id以cookie的形式存储在客户端。每次请求都带上cookie服务器通过session-id,找到session。spring-session的使用由“记住我”引发的一个问题用户登录的...
【Java 进阶篇】Java会话技术之Cookie的存活时间
最新发布
繁依Fanyi的博客
11-04 3718
Cookie的存活时间是指在用户的浏览器中存储Cookie的有效期。一旦超过了这个有效期,Cookie将自动被浏览器删除。Cookie的存活时间可以通过设置CookieMax-Age或Expires属性来控制。Max-Age属性:指定Cookie的存活时间,以秒为单位。例如,表示Cookie将在创建后的3600秒(1小时)后过期。Expires属性:指定Cookie的过期日期和时间。时间格式通常为GMT格式的日期字符串。例如,表示Cookie将在指定的日期和时间过期。
Cookie生命周期
qq_42703576的博客
11-20 575
Cookie生命周期 Cookie c = new Cookie("username","john"); 1. c.setMaxAge(60*60) 2. cookie.setMaxAge(-1) 3. cookie.setMaxAge(0) 1.cookie存活时间为一小时,cookie保存在浏览器内存中,同时也保存在了硬盘上 2.cookiemaxAge默认值就是-1(负数都一个...
Cookie的有效时间及其存储方式(纯干货不废话)
m0_63553261的博客
09-24 4489
Cookie的存储方式及其有效时间 浏览器中通常有两种主要的Cookie存储方式对应两种名称(会话Cookie,持久Cookie): 1. 进程内存中存储的会话Cookie:这些Cookie存储在浏览器的内存中,只在浏览器会话期间有效。一旦关闭浏览器,这些Cookie就会被删除。这些Cookie通常用于临时存储会话信息或其他不需要持久保存的数据。 2. 硬盘中存储的持久Cookie:这些Cookie被保存在计算机的硬盘上,以便在浏览器会话之间保持持久性。这些Cookie具有过期时间,可以在浏览器关闭后
cookie和session
weixin_58678797的博客
12-10 3425
cookie 因为http协议是无状态(没有记忆功能)的协议,当我们的系统使用了cookie或session技术后可以让我们的系统有记忆功能。 cookie:Cookie的产生也是HTTP的特点所决定的。HTTP协议有一个非常重要的特点是无状态的,也就是说当客户端请求服务器,每一个请求和响应结束以后,这次的连接是马上断开的(也是为了释放资源)。同时服务器是不保留连接者相关的信息。这就说明了,Cookie要解决HTTP无状态的问题。 cookie的实现原理 session Sessi..
Cookie的生命周期问题
大大大钢琴
03-05 2704
Cookie会在客户端存活多久呢?这就是Cookie的生命了。默认情况下,Cookie只在浏览器的内存中存活,也就是说,当你关闭浏览器后,Cookie就会消失! 可以使用Cookie#setMaxAge(int expiry)来设置Cookie的存活时间。参数expiry表示Cookie存活的秒数。 cookie.setMaxAge(60*60):表示cookie对象可存活1小时。就算关闭浏览...
Springboot中登录后关于cookie和session拦截问题的案例分析
09-07
在Spring Boot应用中,登录验证通常涉及到Cookie和Session两种技术,它们都是用于用户身份验证和会话管理的重要手段。本文将深入探讨如何在Spring Boot中使用Cookie和Session进行登录后的拦截处理。 首先,简单介绍...
iOS中关于Cookie验证登录状态
08-30
Cookie是一种常见的机制,用于服务器端存储和客户端管理用户会话。本篇将详细阐述如何在iOS中利用Cookie来验证用户的登录状态。 1. **获取并保存Cookie**: 当用户首次登录应用时,服务器通常会返回一个或多个...
关于COOKIE个数与大小的问题
01-19
今天有同事又问起关于cookie的问题,我就到网上查询了一下做了一些相关的摘要记录下来,以备不时之用。关于cookie的操作,做为JS程序员应该是相对熟悉一些的,所以就不对它进行过多的说明了。  以下就是关于各...
Cookie详解】
FullStackDeveloper0的博客
06-13 593
一、Cookie机制 基本流程 Cookie技术是客户端的解决方案,Cookie就是由服务器发给客户端的特殊信息,而这些信息以文本文件的方式存放在客户端,然后客户端每次向服务器发送请求的时候都会带上这些特殊的信息。 详解 当用户使用浏览器访问一个支持Cookie的网站的时候,用户会提供包括用户名在内的个人信息并且提交至服务器;接着,服务器在向客户端回传相应的超文本的同时也会发回这些个人信息...
关于Cookie和Session的失效时间点
热门推荐
lvdou1120101985的博客
02-22 1万+
1. Cookie       cookie是浏览器自带,在客户端可以用来保存用户信息的一种方式,通过JavaScript可以增删改查cookie中的数据,一般会根据业务来决定是否设置过期时间: 没有设置失效时间(会话cookie);   (1)关闭浏览器; (2)手动清除Cookie; 设置时间; (1)时间到了失效,即使关闭了浏览器也不会被清除,因为cookie信息被保存在了硬盘上,浏...
cookie默认有效期多长_惊艳面试官的 Cookie 介绍
weixin_39890629的博客
11-28 2123
关注在看,以后更多干货分享在头条!Cookie 是什么Cookie 是用户浏览器保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。Cookie 主要用于以下三个方面:会话状态管理(如用户登录状态、购物车、游戏分数或其它需要记录的信息)个性化设置(如用户自定义设置、主题等)浏览器行为跟踪(如跟踪分析用户行为等)✔ DomainDomain 标识指定了哪些主机可以...
关于cookie
qq_28846707的博客
10-30 137
cookie 跨域问题cookie基础回顾设置cookie删除cookie获取cookie判断浏览器是否支持cookie cookie基础回顾 设置cookie cookie是document对象的一个属性,值是string类型。 但是里面书写的格式用命值对name=value键值对 key:value 示例: 也可以同时设置多个: (都是以key=val;key=val中间以“;”隔开) document.cookie="user=zhang;name=li;age=45" 注意:设置cook
cookie】设置cookie过期时间 超时时间,Cookie 设置 expires
sky___Show的博客
12-16 5402
Cookie是什么: 简单地说,cookie 就是浏览器储存在用户电脑上的一小段文本文件。cookie 是纯文本格式,不包含任何可执行的代码。一个 Web 页面或服务器告知浏览器按照一定规范来储存这些信息,并在随后的请求中将这些信息发送至服务器,Web 服务器就可以使用这些信息来识别不同的用户。大多数需要登录的网站在用户验证成功之后都会设置一个 cookie,只要这个 cookie 存在并可以,用户就可以自由浏览这个网站的任意页面。再次说明,cookie 只包含数据,就其本身而言并不有害。 设置Cookie
Cookie和Session
m0_52132794的博客
05-26 882
1.Cookie 例子: cookie特点: 1)以键值方式进行存储 2)通过浏览器访问一个网站时,会将浏览器存储的跟网站相关的所有cookie信息发送给该网站的服务器。resquest.COOKIES 3)cookie是基于域名安全的。 4)cookie是有过期时间的,如果不指定,默认关闭浏览器之后cookie就会过期 2.Session 特点: 1)以键值对进行存储的 2)依赖于cookie 3)也有过期时间,如果不指定,默认两周过期 ...
Cookie
asgsmile的博客
02-22 726
什么叫Cookie: 在HTTP中它表示服务器送给客户端浏览器的小甜点。其实Cookie就是一个键和一个值构成的,随着服务器端的响应发送给客户端浏览器。然后客户端浏览器会把Cookie保存起来,当下一次再访问服务器时把Cookie再发送给服务器Cookie的作用: 知道Cookie服务器保存在客户端的信息,然后客户端会在下次请求时把Cookie在还给服务器,这样服务器就可以通过信息来识别客户端了。 保存Cookie到客户端: void addCookie(Cookie c):添加Cookie对象到当前
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值