node中的cookie

最新推荐文章于 2023-03-28 01:16:34 发布
最新推荐文章于 2023-03-28 01:16:34 发布
阅读量105 收藏 1
点赞数
原文链接:https://segmentfault.com/a/1190000016376558
版权

为什么需要cookie

我们知道http是无状态的协议,无状态是什么意思呢?
我来举一个小例子来说明:比如小明在网上购物,他浏览了多个页面,购买了一些物品,这些请求在多次连接中完成,如果不借助额外的手段,那么服务器是不知道他到底购买了什么的,因为服务器压根就不知道每次请求的到底是不是小明,除非小明有一个标识来证明他是小明。

所以,网站为了辨别用户身份,进行 session 跟踪,cookie出现了。

cookie是什么

简单来说,cookie就是标识。
严格来说,cookie是一些存储在客户端的信息,每次连接的时候由浏览器向服务器递交,服务器也向浏览器发起存储 Cookie 的请求,依靠这样的手段,服务器可以识别客户端。
具体来说,浏览器首次向服务器发起请求时,服务器会生成一个唯一标识符并发送给客户端浏览器,浏览器将这个唯一标识符存储在 Cookie 中,之后每次发起的请求中,客户端浏览器都会向服务器传送这个唯一标识符,服务器通过这个唯一标识符来识别用户。

说了这么多,打开浏览器,我们先来看看这货吧。

clipboard.png

上图中,就是浏览器中存的一个cookie,他的名字叫name,值为abc。

常规cookie

光看不过瘾,接下来,用node动手来做一个常规cookie吧。
首先,安装express框架和cookieParser中间件

npm i express --save
npm install cookie-parser --save

cookieParser中间件的主要用途如下:

  1. 解析来自浏览器的cookie,放到req.cookies中;
  2. 针对签名cookie,对cookie签名和解签

代码如下:

var express = require('express');
var cookieParser = require('cookie-parser');

var app = express();
app.use(cookieParser());

app.use(function (req, res) {
  if (req.url === '/favicon.ico') {
    return
  }

  // 设置常规cookie, 有效期为20s, 客户端脚本不能访问它的值
  res.cookie('name', 'abc', { signed: false, maxAge: 20 * 1000, httpOnly: true });
  console.log(req.cookies, req.url, req.signedCookies);

  res.end('hello cookie');
})

app.listen(4000)

运行后,在浏览器中打开 http://localhost:4000/
以chrome为例,f12打开浏览器调试工具,在application中的cookies中便能发现你定义的cookie。
req.cookies和req.signedCookies属性是随http请求发送过来的请求头中的Cookie的解析结果。
其中,req.cookies对应的是普通cookie,req.signedCookies对应的是签名cookie。
如果请求中没有cookie,这两个对象都是空的。

签名cookie

签名cookie更适合敏感数据,因为用它可以验证cookie数据的完整性,有助于防止中间人攻击。
有效的签名cookie放在req.signedCookies对象中。

代码如下:

var express = require('express');
var cookieParser = require('cookie-parser');

var app = express();

// 设置密钥,用来对cookie签名和解签, Express可以由此确定cookie的内容是否被篡改过
app.use(cookieParser('a cool secret'));

app.use(function (req, res) {
  if (req.url === '/favicon.ico') {
    return
  }

  // 设置签名cookie, 并且有效期为1min
  res.cookie('name', 'efg', { signed: true, maxAge: 60 * 1000, httpOnly: true });
  console.log(req.cookies, req.url, req.signedCookies);

  res.end('signed cookie');
})
app.listen(4000)

运行后,在浏览器中打开 http://localhost:4000/
以chrome为例,f12打开浏览器调试工具,在application中的cookies中便能发现你定义的签名cookie,格式如下:s%3Aefg.7FJDuO2E9LMyby6%2Bo1fGQ3wkIHGB9v1CDVWod8NQVAo
.号左边是cookie的值,右边是服务器上用SHA-1 HMAC生成的加密哈希值。
如果这个签名cookie的值被篡改,那么服务器上对cookie的解签会失败,在node中输出的req.signedCookies将为false。如下:

clipboard.png

而如果cookie完好无损地传上来,那么将会被正确解析:

clipboard.png

总结

你可以在cookie中存放任意类型的文本数据,但通常是在客户端存放一个会话cookie,这样你就能在服务器端保留完整的用户状态。
这项会话技术封装在session中间件中,下一篇我将对express-session中间件进行介绍和说明,感谢您的阅读,???

weixin_34368949
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nodecookie的具体使用
01-20
我来举一个小例子来说明:比如小明在网上购物,他浏览了多个页面,购买了一些物品,这些请求在多次连接完成,如果不借助额外的手段,那么服务器是不知道他到底购买了什么的,因为服务器压根就不知道每次请求的到底...
web前端——session和cookie
热门推荐
世界中心的专栏
04-12 1万+
参考链接: http://blog.csdn.net/shuaishenkkk/article/details/8634917 http://blog.csdn.net/fangaoxin/article/details/6952954 区别: 1、cookie数据存放在客户的浏览器上,           session数据放在服务器上    2、cookie不是很安全,别人可以分析
爬虫——cookie模拟登陆
li123128的博客
09-06 717
http协议为无连接协议,cookie: 存放在客户端浏览器,session: 存放在Web服务器 人人网登录案例 方法一:登录网站手动抓取Cookie 1、先登录成功1次,获取到携带登陆信息的Cookie 登录成功 - 个人主页(http://www.renren.com/971989504/profile) - F12抓包 - 刷新个人主页 - 找到主页的包(home)   一...
【渗透整理】SQL注入篇(2)
SunnyCat
12-26 318
【渗透整理】DVWA SQL Injection —等级:medium 接上一篇的《【渗透整理】SQL注入篇(1)》,这次我们还和上次一样网上随便找一个测试主机(测试用机不要太多)。这次的测试主机:106.54.82.231。游戏开始。 1、搜集信息 [界面] 没有输入框了,使用一个可选的下拉框,可以知道一共有5个user,我随便点了4提交,F12查看网络,发现这次是用post方式提交,参数为i...
Python安全之绕过随机Token——使用Brup找出随机Token
weixin_43853965的博客
01-14 628
这是某OA的一个页面,主要功能是供用户提交一些需求,页面有表单和文件上传接口,在对该页面进行安全测试的时候,我希望对这些用户输入表单进行存储型XSS的测试,然而由于页面使用了随机Token,致使用扫描器进行扫描时发现并不能批量写入。于是用Burp进行手工测试。
JS逆向之国家企业信用信息公示系统Cookie传递
onejane
04-26 1173
目标 http://www.gsxt.gov.cn/corp-query-entprise-info-xxgg-100000.html 分析 POST http://www.gsxt.gov.cn/affiche-query-area-info-paperall.html?noticeType=21&areaid=100000&noticeTitle=&regOrg=110000 参数: noticeType=21 通知类型, 失信企业固定21 areaid=100000 无论
node-cookie-m
05-19
__cookie m__anager 例子 var http = require ( 'http' ) var rack = require ( 'hat' ) . rack ( 256 ) var Cookie = require ( 'cookie-m' ) var store = { } var server = http . createServer ( function app...
node-cookie-pass
05-29
var cookiepass = require ( 'cookie-pass' ) var http = require ( 'http' ) var url = require ( 'url' ) var qs = require ( 'querystring' ) var requestData = qs . stringify ( { mode : 'login' , id : '...
Node.js使用cookie保持登录的方法
10-18
本篇文章主要介绍了Node.js使用cookie保持登录的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Node学习(九)063-会话技术简介之cookie的设置和获取——会话控制的分类之cookie-保存客户端(浏览器)、session-保存服务器 & cookie的设置与获取 & cookie有效期
weixin_44867717的博客
03-28 710
cookie
node环境下使用cookie
qq_33274031的博客
05-03 3393
nodejs+cookie
nodejscookie的理解
weixin_41277748的博客
03-26 628
cookie 的比喻 cookie类似于一个卡包,专门用于存放各种出入证,并有着一套机制来自动管理这些证件。卡包内的每一张卡片,称之为一个cookiecookie的组成 key:键,比如「身份编号」 value:值,比如袁小进的身份编号「14563D1550F2F76D69ECBF4DD54ABC95」,这有点像卡片的条形码,当然,它可以是任何信息 domain:域,表达这个cookie是属于哪个网站的,比如yuanjin.tech,表示这个cookie是属于yuanjin.tech这个网站.
jmeter请求有重定向请求的接口
ths512的博客
06-22 1185
最近由于公司数据升级,要对升级后的系统做压测,之前也测都是调用后台接口,这次尝试通过fiddler抓包从web端请求,在实践是遇到几个问题做一总结: 我们都知道,要免登录对其它功功能调用,需要添加cookie,但是对于有重定向的请求,需要注意添加登录动作的cookie。 1,fiddler抓取到的登录接口和保单查询接口数据包 2.登录接口cookie信息查看 注意看登录接口td_cookie是以2839结尾 3,保单查询接口 注意看登录接口td_cookie是以0935结尾 4,保
python脚本根据cookies自动登录网站_Python爬虫模拟cookie登陆
weixin_39640573的博客
11-24 425
cookie适用于抓取需要登录才能访问的页面网站cookie和session机制http协议为无连接协议,cookie: 存放在客户端浏览器,session: 存放在Web服务器人人网登录案例方法一:登录网站手动抓取Cookie1、先登录成功1次,获取到携带登陆信息的Cookie登录成功 - 个人主页(http://www.renren.com/971989504/profile) - F12抓包...
Cookie/Session机制详解
准女婿的博客
11-17 399
原文地址:http://blog.csdn.net/fangaoxin/article/details/6952954 会话(Session)跟踪是Web程序常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 本章将系统地讲述Cookie与S
LCTF Web补题笔记(菜狗前进永不止步)
Assassin
11-20 5103
不得不说比赛真的挺难得…补题吧… Simple blog 首先上来发现文件login.php和admin.php,但是没什么别的,想到文件泄露通过swp得到源码 login.php error_reporting(0); session_start(); define("METHOD", "aes-128-cbc"); include('config.php'); function
python requests 模块
wahaha
08-20 302
一.requests 模拟登录的三种方法 1.发送 post请求模拟登录 1.利用抓包获取 post登录 url, 以及登录时的form表单难度较大 2.将form表单的数据封装成一个字典 ,data={ 'a': '1','b': '2'}的形式 3....
python爬取壁纸程序(http://www.jj20.com/)
weixin_43933139的博客
06-21 2362
之前有写了美女一栏的,后来朋友们反映,除了美女就没有其他的了,今天特意整合了几个栏目供选择 新增加了图片小于1920x1080的不要 程序已打包上传 全部代码如下 import requests import time import os from multiprocessing import Pool, cpu_count, current_process, Process, freeze_support from lxml import etree import parsel import re f
前后端存取Cookie
shirukai
07-13 1万+
前后端存取cookie 一、前端存取cookie 1.前端jsp存入cookie <%@ page import="java.util.Map" %> <%@ page contentType="text/html;charset=UTF-8" language="java" %> <html> <head>
node.js cookie
最新发布
04-01
To set a cookie in Node.js, you can use the `setHeader()` method on the response object with the `Set-Cookie` header. Here's an example: ``` const http = require('http'); http.createServer((req, res...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值