关于cookie你所需要知道的

于 2024-03-23 21:38:13 发布
阅读量966 收藏 25
点赞数 17
文章标签: edge浏览器 chrome javascript vue.js
本文链接:https://blog.csdn.net/weixin_38980638/article/details/136975850
版权

大家都知道HTTP是stateless的,但B/S应用很多时候我们需要在B和S端维护一些状态,最常见的比如用户登陆状态。那么如何在stateless的HTTP协议下维护state就成了一个问题,于是就有了cookie和session的机制来进行客户端和服务端的状态共享。session通过将信息存储于server端,可以是落盘到文件系统,也可以通过一些中间件如redis缓存等从而实现跨instance的分布式共享。 而cookie则是存储在client端(浏览器),在每次请求时将valid的cookie放到header中已实现状态共享。

但由于cookie存储在客户端,对server而言相当于用户输入或者说请求参数,因此很容易被黑客利用,最常见的如CSRF,简单来说: 如果你的网站没有对cookie的使用进行一定的限制,在一个用户登陆后在另一个恶意网站或弹窗等进行了操作,如果这个操作是像你的网站发送一个操作,即使是safe method, 若不加以限制,则有可能带上了用于authentication or authorization的cookie,这就是潜在的风险。于是cookie有了很多attributes以增强自身安全性。

cookie的组成

如果我们打开一个浏览器F12去看一下cookie,我们可以看到如下的attributes(chrome 为例):
cookie

其中 SameParty, Priority 都是google自己的chrome enhancement,PartitionKey则是firefox的,我就不研究这几个偏门了(一般也用不到且谨慎使用-兼容性)。

而Name,Value,Size就是字面意思,非常的semantic, 我就不解释了。

那么下面这几个就是非常common的且如果使用了cookie很可能需要考虑的attributes:

  • Domain:指定cookie可共享的(registrable domain)域名范围=> 如果值以.开头,那么自身及subdomain都可以携带该cookie,如果没有显示指定,默认为origin的域名且同级子域名不可共享(即开头没有.只有它自己可以访问)Domain的值一定是registrable domain或他的subdomain。
  • Path: URL的prefix match Path 才能携带该cookie,即路径本身和它的子路径可以携带eg. /docs match /docs/, /docs/Web/
  • Expires/Max-Age: 设置cookie过期时间,Expires指定过期日期,Max-Age指定时长,只需要设置一个,如果两个都设置,Max-Age为最终有效值
  • HttpOnly: 禁止client的script访问和修改cookie,但script发起的请求仍有能力携带该cookie
  • Secure: 只有用https的请求才将携带有Secure的cookie
  • SameSite: 有三个可选值-Strict,Lax,None.
    • Strict: 只有same-site 的请求可以携带Strict的cookie
    • Lax: cross-site的简单请求携带cookie,非简单请求则不会携带
    • None: 最不安全的策略,cross-site的非简单请求也携带

一些组合使用的case

目前的主流浏览器都将SameSite的default值设为了Lax,且如果SameSite设置为None,则必须指定Secure,即SameSite=None的cookie只可以在https请求中携带。

在这里插入图片描述

在使用set-cookie 在server端添加 Strict 或者Lax的cookie时,Domain的值必须是host的registrable domain 否则会被浏览器block掉,即浏览器不允许你的server给第三方设置cookie

在这里插入图片描述

在SameSite为None的情感可以,你的server是可以给第三方设置cookie的(非redirect,直接在response中setcookie)。

and,

以上的一些测试来自chrome,一些behavior在不同浏览器之间并不一致,如unsecure , SameSite=None 的cookie在chrome中会直接忽略,但在firfox中却存储了下来并在后续请求中携带。

在这里插入图片描述

关于cookie的一些相关概念

在看cookie的attributes时,可能同时需要对http的Same-origin机制和cookie的same-site机制做一个了解。

Same-origin policy

HTTP通过 Same-origin policy 来鉴定一个请求是否属于 CORS(Cross-Origin Resource Sharing)请求。

Same-origin(同源策略):如果两个URL的protocol,host,port(即协议、域名、端口)完全相同则为同源,否则就跨源(跨域)了。

Url1Url2is same-origin?
http://www.company.comhttps://www.bing.comNo
http://store.company.comhttps://news.company.comNo
https://store.company.com/a/1https://store.company.com/c/2Yes

Cross-origin的结果:

  • 不能获取 Cookie、LocalStorage、IndexedDB;
  • 不能获取 dom 节点;
  • 不能进行非简单请求;

CORS 分为Simple requests(简单请求)以及非简单请求:

  • 简单请求: POSTGETHEAD,TRACE

  • 非简单请求 PUTDELETE

Non-Same-origin(非同源)的Non-Simple request(非简单请求)是不被直接允许的,需要进行CORS preflight验证server是否允许origin 访问目标资源。

但node-fetch并不遵循这一套规范:

https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS

Some requests don’t trigger a CORS preflight. Those are called simple requests, though the Fetch spec (which defines CORS) doesn’t use that term.

https://fetch.spec.whatwg.org/#cors-request

A CORS request is an HTTP request that includes an [Origin](https://fetch.spec.whatwg.org/#http-origin) header. It cannot be reliably identified as participating in the CORS protocol as the [Origin](https://fetch.spec.whatwg.org/#http-origin) header is also included for all requests whose method is neither GET nor HEAD.

所以对于fetch来说,只要不是GET, HEAD,TRACEOPTION(即preflight its self), 都会进行preflight验证。

可能看上去比较绕,那么经过我的测试,结合上述(MSDN抄来的)其实总结起来就是:

对于非GETHEAD,TRACE,OPTIONS的请求,在cross-origin的情况下浏览器会先主动发一个preflight的请求(Method: OPTIONS)验证服务器是否允许该cross-origin的请求,server的配置是基于项目的需求由dev添加的,如:

# nginx
location /api {
	add_header 'Access-Control-Allow-Origin' "$http_origin";
	proxy_pass http://api.cross-site.com;
}
# express
app.use(cors({origin: true, credentials: true}));

此时response会返回Access-Control-Allow-Origin 这个header,如果他的值是你的origin的url那么即validted,此时浏览器才发送真实的请求。

same-site

same-site(同站): 只要两个 URL 的 eTLD(effective top-level domains 有效顶级域名 eg. .com、.co、.uk、.github.io)+1 相同即为same-site,可以不考虑协议和端口(依赖于浏览器的实现)。

Url1Url2is same-site?
http://www.company.comhttps://www.bing.comNo
http://store.company.comhttps://news.company.comYes
http://example.comhttps://example.comYes

随着越来越多的浏览器开始推进HTTPS化,很多浏览器开始将http和https视为非cross-site:

Cookies from the same domain are no longer considered to be from the same site if sent using a different scheme (http: or https:).

欢迎访问我的博客!!https://seven.geekfun.club/article/19

sevenll07
关注
【SpringBoot】21、SpringBoot中使用Cookie实现记住登录
Asurplus
06-28 23万+
最近在做项目,甲方提出每次登录都要输入密码,会很麻烦,要求实现一个记住登录状态的功能,于是便使用Cookie实现该功能 一、Cookie 简介 Cookie,一种储存在用户本地终端上的数据,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。 其实Cookie就是一个键和一个值构成的,随着服务器端的响应发送给客户端浏览器。然后客户端浏览器会把Cookie保存起来,当
浏览器Cookie的全面介绍
Coding home - 漂流瓶jz
07-16 2010
在Web前端开发时,我们经常会遇到一些浏览器存储相关的工具,例如CookieCookie的英文本意是曲奇,但是在Web中,它被用作浏览器中存储的数据。Cookie都是name=value的结构,name和value都为字符串。
Cookie与CSRF(XSRF)
zollty的专栏
08-25 3150
本文是《Session和Cookie原理》的续篇。 在上一篇中,详细介绍了Cookie的原理。 下面介绍,如何Cookie的跨站共享,及CSRF(Cross-Site Request Forgery,跨网站请求伪造)攻击。 请先阅读《HTTP访问控制(CORS)》一文,以便对跨网站请求有一个初步了解。在这篇文章中提到的一点十分关键: “Fetch 与 CORS 的一个有趣的特性是,可以基于 HTTP cookies 和 HTTP 认证信息发送身份凭证。一般而言,对于跨域 XMLHttpR..
chrom后端设置cookie失败跨域问题报错the set-cookie had to have been set with “sameSite=None“ to enable cross-si
weixin_41791737的博客
08-06 5014
vue项目运行登录后,后端设置了cookie;但是我是本地起得项目所以现在一直报错登录过期问题; 一、后端设置的set-cookie黄色警告报错 the set-cookie had to have been set with “sameSite=None” to enable cross-site usage Samesite有三个值,None, Lax,Strict.这个参数是防止跨站攻击用的,因为测试环境,所以最方便就是跨站调试了。 刚开始设置cookie 的Domain无效 后来经过一番翻云
CROS 前后端交互,不可不知的跨域问题及其解决方案详解
最新发布
FeelTouch Labs
10-19 2305
在前后端不分离时,我们利用前面讲过的Spring Security的各种知识点,就可以实现对项目的权限管控。但是在前后端分离时,尤其是在引入了Spring Security后的前后端分离时,我们从前端发来的请求,就会存在一些问题。这些问题就是跨域而导致的问题!对于前后端分离时,跨域而产生的安全问题,我们该怎么解决呢?接下来请跟着一一哥来学习如何解决吧!在解决跨域问题之前,我们先来了解一下何为跨域问题,怎么产生的跨域问题,怎么解决这个跨域问题。CORS是一个W3C标准,全称是。
cookie
klji234的博客
04-21 611
cookie各字段含义,与token,session的联系。与localStorage与sessionStorage的异同。
asp.net关于Cookie跨域(域名)的问题
01-01
跨二级域名 我们知道cookie是可以跨二级域名来访问,这个很好理解,例如你 www.test1.com 在的web应用程序创建了一个cookie,要想在bbs.test1.com这样的二级域名对应的应用程序中访问,就必须你在创建cookie的时候...
Web测试你需要知道的HTTP—cookie与session的实现
03-25
1. **基于 Cookie 的 Session 实现**:在这种情况下,服务器将 Session ID 作为 Cookie 的内容存储在浏览器的临时 Cookie 中。每当客户端发起请求时,Session ID 都会以 Cookie 形式发送给服务器。 2. **URL 重写...
你可能不知道Cookie
Ryan的博客
04-12 1009
常规的Cookie认知: 不能跨域 储存空间有限 通过document.cookieAPI进行get和set Cookie与其他本地存储的区别: 大小不同,cookie是最小的。 数量受限,每个域名下的cookie数量最多为20个(但很多浏览器厂商在具体实现时支持大于20个) 某个域下的cookie会自动随该域下的请求带在request header的cookie字段里。 可以设定过期时间。 可以设定path,而其他存储往往只有域的限制。 存在httpOnly属性,只能由服务端设置,JS无
使用cookie知道WebClient坚持ASP.NET MVC认证.zip
01-30
"使用cookie知道WebClient坚持ASP.NET MVC认证"这个主题涉及到的核心知识点是如何使用Cookie来维持Web客户端(如浏览器)与服务器之间的会话状态,并通过WebClient类进行模拟登录和数据交互。 1. **Cookie原理**: ...
跨域(cross-domain)访问 cookie (读取和设置)
冯友华的专栏
06-29 515
Passport 一方面意味着用一个帐号可以在不同服务里登录,另一方面就是在一个服务里面登录后可以无障碍的漫游到其他服务里面去。坦白说,目前 sohu passport 在这一点实现的很烂(不过俺的工作就是要把它做好啦,hehe) 搜狐的 SSO 需求比较麻烦,因为它旗下有好多域名:sohu.com、chinaren.com、sogou.com、focus.cn、17173.com、go2map....
第三方设置cookie提示Mark cross-site cookies as Secure to allow setting them in cross-site contex
橙-极纪元-cplvfx-JJY.Cheng
12-11 3142
Mark cross-site cookies as Secure to allow setting them in cross-site contexts Learn more: SameSite cookies explained 译文: 将跨站点cookie标记为安全,允许在跨站点上下文中设置它们使用SameSite=None标记的cookie也必须使用Secure标记,以便允许在跨站点上下文中设置它们。此行为可以防止用户数据通过不安全的连接发送。通过更新cookie的属性来解决这个问题...
阻止跨网站跟踪(Prevent Cross-Site Tracking)时cookie未获取到,造成服务端获取session失败
会飞的海象
06-14 1万+
ActionContext.getContext().getSession().put(Constants.SYS_INFO, sysInfo); ActionContextUtil.getContext(accountNo).setThemeName(); ActionContextUtil.getContext(accountNo).setCustomI18N(); 配置文件config.p...
从头到尾讲讲 cookie?同源策略?跨越?解决跨域问题?
TTianYe的博客
04-15 2895
cookie?同源策略?跨域?跨域解决方法? 在讲解跨域之前,要先讲一下跨域的出现是出于浏览器的同源策略限制,以及cookie。 1 cookie ​ 当我们在访问网页的时候客户端(我们本地的电脑)会发送一个请求到服务器,服务器会保存用户状态,生成一个证书文件(就是cookie),并返回到客户端,存储在浏览器中,当我们使用同一个浏览器再次发出请求的时候,客户端就会将本地的cookie加上URL访问地址同是发送给服务器,服务器就会辨别用户状态(URL组成:协议://主机(域名):端口/路径,其中主机也指I
Indicate whether to send a cookie in a cross-site request by specifying its SameSite attribute
热门推荐
baidu_31718835的博客
01-12 7万+
前言 之前做的一个跨域调用的静态页面,反馈使用出现了问题,检查了一下发现Chorme显示这个消息:Indicate whether to send a cookie in a cross-site request by specifying its SameSite attribute 在网上Search了一下,是chrome 更新以后出现的问题,主要是为了防止CSRF 攻击,屏蔽了第三方cookies,具体情况的话可以看下面的两个链接 Cookies default to SameSite=Lax Re
(原创)攻击方式学习之(1) - 跨站式脚本(Cross-Site Scripting)
weixin_34032621的博客
09-06 442
声明:本文仅供学习研究之用,对于本文提到的某些网站的XSS漏洞,请读者发扬高尚的人道主义精神不要去危害他人,同时希望相应的网站能够尽快修补XSS漏洞。 简介 XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 使用过ASP的同...
最新版Chrome跟进的Cookie SameSite策略,你真的了解吗?
qq_30236895的博客
03-06 7782
Cookie是什么?cookies是你访问网站时创建的数据片段文件,通过保存浏览信息,它们使你的在线体验更加轻松。 使用cookies,可以使你保持在线登录状态,记录你的站点偏好,并为你提供本地化支持。 First-party cookies or Third-party cookies 第一方cookie由你访问的站点创建。该站点指的是地址栏显示的站点; 第三方cookie是由其他站点创建的。这...
关闭Chorme浏览器 A cookie associated with a cross-site resource at ...警告
Tian丶Yuting
10-06 4011
A cookie associated with a cross-site resource at … 这个是由于cookie跨域导致的,但不影响正常使用,只是会有淡黄色的警告。 如何去掉? 打开链接:跳转 搜索 Cookie deprecation messages 选择Disabled,此时浏览器下方会出现一个小按钮喊你重启浏览器,点它重启后就解决了! ...
知道session和cookie的关系吗
04-20
可以回答,Session 和 Cookie 都是在 Web 开发中用来维护用户状态的机制,不过它们的实现方式不同。Session 是在服务器端维护的一段数据,而 Cookie 是在客户端维护的一段数据。Session 的实现方式通常是在服务端生成一个唯一的 Session ID,然后将这个 ID 存在 Cookie 中,同时在服务端保存一份对应的数据。用户每次请求时,服务端就根据 Cookie 中的 ID 来查找对应的 Session 数据,从而实现了用户状态的维护。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值