HTTP协议原理(三)--缓存头、缓存验证、cookie、session

最新推荐文章于 2020-11-20 12:28:42 发布
最新推荐文章于 2020-11-20 12:28:42 发布
阅读量273 收藏
点赞数
分类专栏: http 前端 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_41904410/article/details/107957209
版权
前端 同时被 2 个专栏收录
15 篇文章 0 订阅
订阅专栏
http
3 篇文章 0 订阅
订阅专栏

缓存头Cach-Control的含义及使用

读取缓存

1、特性

'Cach-Control' : 'max-age=200, public'   // 多个设置时,逗号分隔

  • 可缓存性
    public http经过的任何地方都能进行缓存
    private 只有发起请求的浏览器才可以进行缓存
    no-cache 本地是可以缓存的,但使用缓存需要经过服务器验证

  • 到期
    max-age = < seconds > 缓存到多少秒之后过期,max-age = 20
    s-maxage = < seconds > 可以代替上面那个,但是只有在代理服务器里面才会生效
    max-stale = < seconds > 在max-age过期之后,在max-stale过期之前仍然可以使用过期的max-age时间内的缓存,只在请求发起端设置有用,服务器返回设置无用

注意点:

  • 如果服务器改变,客户端还是请求原缓存的内容,会导致数据更新不及时,解决方法,在js文件名上增加一个哈希值,如果内容改变,js名称变更,达到浏览器更新缓存的过程
  • 浏览器只识别max-age,如果在代理服务器中同时存在,会选择s-maxage

  • 重新验证(基本也不怎么用到)
    must-revalidate 在max-age到期之后,必须去原服务端验证是否过期重新获取缓存
    proxy-revalidate 缓存服务器

  • 其他
    no-store 本地和代理服务器都不能使用缓存
    no-transform 告诉代理服务器,不允许随便改动或转换服务器返回的内容

对代理服务器设置的一些头,只是限制但是代理服务器可以不按这个来

缓存验证 Lat-Modified和Etag

1、浏览器发出一个请求查找缓存的一个过程
在这里插入图片描述
2、验证头

// 设置no-cache,表示使用缓存前需要服务器验证
'Cach-Control' : 'max-age=200, no-cache',
'last-Modified': '123',
'Etag': '777'

  • Last-Modified

    上次修改时间
    配合 If-Modified-SinceIf-Unmodeified-Since 使用,使用 If-Modified-Since 的值对比资源存在的地方,是否有修改
    对比上次修改时间以验证资源是否需要更新

  • Etag
    更加严格的验证,数据签名,
    配合If-Match或If-None-Match使用
    对比资源的签名判断是否使用缓存

    当我们设置了Last-Modified 、Etag,浏览器请求头会携带对应的If-Modified-Since、If-None-Match,可以用来判断

nodejs服务器代码示例

const etag = request.headers['if-none-match'];
if(etag === '777'){
    response.writeHead(304, {
        'Content-Type':'text/javascript',
        'Cache-Control': 'max-age=200000000, no-cache',
        'Last-Modified':'123',
        'Etag': '777'
    })
    response.end('')
} else {
    response.writeHead(200, {
        'Content-Type':'text/javascript',
        'Cache-Control': 'max-age=200000000, no-cache',
        'Last-Modified':'123',
        'Etag': '777'
    })
    response.end('console.log("script loaded")')
}

cookie、session

cookie

  • 通过Set-Cookie设置
  • 下次请求会自动带上
  • 键值对,可以设置多个

属性:
max-age 和 expires 设置过期时间
Secure只在https的时候发送
HttpOnly无法通过document.cookie访问,安全性,防止注入性脚本攻击

注意点:

  • cookie没有设置过期时间,关闭浏览器就清空了
  • max-age表示多长时间后过期, expires 表示到什么时间点过期,效果一样的,max-age相对简单一点
// cookie  id过期时间是2秒
// abc 无法通过document.cookie访问,也就是说禁止javascript访问cookie
'Set-Cookie': ['id=123;max-age=2','abc=456;HttpOnly']


// 可以通过host根据不同域名来增加cookie(代码是node.js)
const host = request.headers.host
if(host === 'a.test.com'){
	response.writeHead(200, {
		'Content-Type':'text/html',
		// 不能跨域设置cookie
		'Set-Cookie': ['id=123;max-age=2','abc=456;']
	})
}

session

  • session不等于cookie
  • session和cookie不是一一对应的,不一定要由cookie实现,可以通过js的方式写在header里也可以实现
  • cookie session一般配合使用,比如用户id直接存cookie不安全
森林的尽头是阳光
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTP中的Authorization
01-23 9386
Authorizaton部的作用 主要用作http协议的认证。 HTTP协议的主要认证方式 No Auth Basic Auth Digest Auth OAuth 1.0 OAuth 2.0 Hawk Authorization AWS Signature HTTP协议主要的认证过程 ...
HTTP 协议 Cache-Control ——性能啊
weixin_34050389的博客
03-14 218
原文地址:http://tools.ietf.org/html/rfc2616#section-14.9   本文内容 概述术语HTTP Cache-Control     可缓存的资源    可被高速缓存存储的资源    修改基本过期机制    缓存重新验证和重新加载的控制    no-transform 指令    缓存控制扩展参考资料  概述最近做的项目使用了 Ext.Net,由于...
使用filter验证session用户和页面缓存问题处理
hendry 的成长之路
12-09 195
WEB的信息安全隐患之一: 未授权用户通过直接在IE中输入URL直接登录系统 解决办法: 通过配置filter过滤无效用户的连接请求. WEB的信息安全隐患之二: 合法用户"注销"后,在未关闭浏览器的情况下,点击浏览器"后退"按钮,可从与本地页面缓存中读取数据,绕过了服务端filter过滤. 解决办法: 在必要的页面(包含敏感信息) 设定页面缓存限制. ...
Http认证】Http的四种认证方式
吃货小跟班的博客
01-06 2万+
一、Http Basic Authentication 基本认证 将认证的信息填写到请求,参考博客文章:二、Http Digest Authentication Digest认证以上这两种认证方式都是一种无状态的认证方式,就是不需要服务器端保存必要的session,所以也没有session失效期。客户端每次都需要将密码和用户名发送给服务器来完成认证,而且用户名和密码是保存在浏览器进程的内存中的,
HTTP请求Authorization
热门推荐
ACAMPUS
12-30 6万+
今天部署了一个Authorization项目,由于改了auth服务器客户端id和密码,而前端请求header没有修改,登录时一直弹框要求输入用户名和密码,输入后却无效,只好改前端代码。改完只好就可以了。以下是参考文章。 POST /goform/ser2netconfigAT HTTP/1.1 Host: 192.168.16.254 Connection: keep-alive Author...
HTTP认证方式
hotnet522的专栏
08-19 3万+
HTTP请求: Authorization HTTP响应报: WWW-Authenticate HTTP认证基于质询/回应(challenge/response)的认证模式。 ◆ 基本认证 basic authentication   ← HTTP1.0提出的认证方法 客户端对于每一个realm,通过提供用户名和密码来进行认证的方式。 ※ 包含密码的明文传递 基本认证步骤: 1. 客户端访问一个受http基本认证保护的资源。
HTML5 Web缓存和运用程序缓存(cookie,session)
09-27
由于HTTP协议无状态,Session通过在服务器端创建一个唯一的Session ID,这个ID通常通过Cookie返回给客户端,客户端每次请求时携带此ID,服务器据此识别用户。如果浏览器禁用CookieSession则无法正常工作,但也可以...
JquerySession-JqueryCookie缓存插件(实例+注释说明)
09-27
这个是本人自己研究总结的实例+源码,还有实例总结+注释说明(源码),里面有自己研究过的总结话语,可以帮助大家更好的学习和理解,希望对大家有所帮助!
asp.net中Session缓存与Cache缓存的区别分析
01-01
Session缓存与Cache缓存的区别,可以参考如下的几点: 1、最大的区别是Cache提供缓存依赖来更新数据,而Session只能依靠定义的缓存时间来判断缓存数据是否有效。 2、即使应用程序终止,只要Cache.Add方法中定义的...
SpringBoot缓存使用
qq_42383787的博客
05-05 455
一.概念 1.主要注解: 注解总览: @EnableCaching: 开启spring cache功能 @Cacheable:添加缓存 @CacheEvict:删除缓存 @CachePut:更新缓存,方法依旧执行,通常用于更新方法 @Caching:在一个方法中同时使用多个缓存规则 @CacheConfig:在类级别上设置一些通用的属性 2.@Cacheable/@CachePut...
Etag和if-None-Match
weixin_33941350的博客
09-16 2326
前言 最近在跟后台对接口时,发现请求同一个接口时总是一次成功一次失败这样间隔着来,很是困扰。请求失败的时候报的错时502 Not Modified,这个报错也是百思不得解。在我掌握的知识里502时服务器错误,而Not Modified对应的状态码应该时304,但这样的报错提示是从来没有遇到过。另外这个错误也只是在本地跑的时候会有,放到线上的环境就很正常,第二次请求时也是304而不会报错。得闲我比...
利用缓存处理用户注册时的邮箱验证,成功后用户数据存入数据库
luyaran的博客
09-22 2799
<?php header("content-type:text/html;charset=utf-8"); @$atc=$_GET['atc']; $mem=new Memcache(); $mem->connect("127.0.0.1","11211"); if($atc=="in"){ $res=$mem->add("login",$_POST,MEMCACHE_COMPRESSED
登录用户缓存试验
NeverSayDie_的博客
06-15 2334
登录页面 login.jsp 校验用户 LoginServlet 登录成功 succ1.jsp只是小实验,所以没有连接数据库。首先,登录页面是一个简单的提交表单。 <h1>大写的登陆</h1><br/> <font color="red"><b><%=message %></b></font> <form action="/day_11-3/LoginServlet"
缓存验证Last-Modified和Etag的使用
aliven1的博客
08-28 1029
如果响应设置了Catch-Control:'no-cache'; no-cache 可以在本地缓存,可以在代理服务器缓存,但是这个缓存服务器验证才可以使用; Last-Modified和Etag设置在信息里面,首次请求,会返回给客户端,第二次请求请求信息里面会自动带上上次返回的Last-Modified和Etag的值,对应的key分别是If-Modified-Since和If-None-Match; 后端接收到对应的If-Modified-Since和If-None-Mat...
HTTP协议中ETag使用(利用浏览器缓存提高访问效率)
王德封-逐浪
02-26 1245
       Etag 是URL的Entity Tag,用于标示URL对象是否改变,区分不同语言和Session等等。具体内部含义是使服务器控制的,就像Cookie那样。   HTTP协议规格说明定义ETag为“被请求变量的实体值” 。另一种说法是,ETag是一个可以与Web资源关联的记号(token)。典型的Web资源可以一个Web页,但也可能是JSON或XML文档。服务器单独负责判断记号是什...
前端静态资源缓存最优解以及max-age的陷阱
讨厌走开啦
04-15 2万+
原文地址:点这里 合理的使用缓存可以极大地提高网站资源的利用率,还可以节约带宽从而降低服务器成本。但是很多站点针对缓存的策略并不合理,甚至是完全无作为,如果是这样,就完全没有发挥出缓存的优势,而不合理的策略反而很大程度上会导致网站在访问时会发生由于静态资源的竞争关系而导致依赖的静态资源不同步的问题(简单地说,就是页面发生了崩坏)。 以下为两个最佳静态资源缓存实践的例子: 资源内容长时间内...
cookie放在请求_面试必问:sessioncookie和token的区别
weixin_39663605的博客
11-20 611
点击上方蓝字关注我们 !sessioncookie和token究竟是什么简述cookiesession,token作为面试必问题,很多同学能答个大概,但是又迷糊不清,希望本篇文章对大家有所帮助http是一个无状态协议什么是无状态呢?就是说这一次请求和上一次请求是没有任何关系的,互不认识的,没有关联的。这种无状态的的好处是快速。cookiesession由于http的无状态性,为了使...
聊聊MyBatis缓存机制
美团技术团队
01-19 4444
前言 MyBatis是常见的Java数据库访问层框架。在日常工作中,开发人员多数情况下是使用MyBatis的默认缓存配置,但是MyBatis缓存机制有一些不足之处,在使用中容易引起脏数据,形成一些潜在的隐患。个人在业务开发中也处理过一些由于MyBatis缓存引发的开发问题,带着个人的兴趣,希望从应用及源码的角度为读者梳理MyBatis缓存机制。本次分析中涉及到的代码和数据库表均放在...
Http会话管理演示文稿
最新发布
04-26
- 在示例中,servlet1设置cookie,浏览器收到后存储在IE缓存区,servlet2就能通过浏览器接收到的cookie获取用户信息。然而,cookie大小有限,且存在安全性问题,不适合存储敏感信息。 - javax.servlet.http.Cookie...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值