java cookie domain 端口_了解 HTTP 的 Cookie

最新推荐文章于 2022-08-02 17:27:35 发布
最新推荐文章于 2022-08-02 17:27:35 发布
阅读量724 收藏
点赞数
文章标签: java cookie domain 端口 一个请求里能有多个cookie吗 相同域名导致cookie 相同域名导致cookie冲突 重定向cookie传不过去

908e9a0568ed7b058959a03b2ffc616b.png
今天下雨,打不了球了: ( (周日写的,修改了下)
看了会 HTTP 的 Cookie 知识,记录一下。

Cookie 的起源

因为 HTTP 是无状态的,服务器不知道将多个商品添加到购物车的是不是同一个用户。为了解决这个问题,网景的工程师 Lou Montulli 发明了 Cookie。

工作原理

1. 浏览器发送用户凭证

2. 服务器验证通过后创建一个 Session,并返回一个 SessionID 交由浏览器存到本地 Cookie 里

3. 第二次请求时,浏览器会检查本地是否包含请求域名的对应 Cookie,如果有自动带着发给服务器

4. 服务器检查浏览器发过来的 SessionID,进行判断

常见字段

我们启动一个 node 服务来了解一下 Cookie 里面的各个字段:

// 导入 http 内置模块

毕竟也是持久化的一种,所以 Cookie 是存在于 Application 下的 Storage 里面,红框里就是常见的几个字段。

26742bf28295dd7558df2a032f1784e3.png

我们分别看下:

  • name、value

这个就是键值对:

198fe3a8b482ed67808d34f5c6d2812b.png

这里我看 [MDN](Set-Cookie)有这么一句话:

89d720a93b3cb679659b3da9daf3e885.png

但是我在 Chrome 里面的确可以用括号的,浏览器支持。

  • domain

这个字段是指定 cookie 可以送达的主机名。域名之前的点号会被忽略。假如指定了域名,那么相当于各个子域名也包含在内了。我查看了 GitHub.com 的 Cookie,它的 domain 有的是 .github.com 有的是 github.com,其实只需要设置 github.com 就行了。而且它输入 www.github.com 也会重定向到 github.com。

还有一点是这里提到的是域名,并不包含端口,所以不同端口也可以共享这个 Cookie。我们可以验证下,本地再启动一个 4000端口:

// 导入 http 内置模块

访问一下,可以看到同样有这个 Cookie:

38e98e0794cab72ccc8d112271d3c73e.png
  • path

这个字段指定一个 URL 路径,这个路径必须出现在要请求的资源的路径中才可以发送 Cookie 首部。一般我们都默认设置为 `/`。

下面我们设置一个路径测试下:

// 导入 http 内置模块

如下图所示,当我们访问 /doc 这个路径时,Cookie 是有的。但是访问 /doc1 这个路径,Cookie 就没有了。

f9301488e934761515c9b525bd1609d0.png

efcf5a8dd1e0a51e217a7fc5746556b5.png
  • Expires、MaxAge

Expires 和 MaxAge 是两个作用相同的字段,所以 Chrome 把它们两个放一起了。它们的格式不一样, Expires 的格式是 Date 格式,而 Max-Age 是数字形式的多少秒。

Expires 是 HTTP 1.0 的首部字段,因为客户端和服务端时间误差过大导致问题,所以才有 HTTP 的 Max-Age 字段。

默认值是 Session,意味着只是在当前会话保存该 Cookie:

775a4bad3f0f30c5a06dbd5e688920a8.png

这里注意一个问题,这里设置的不是本地时间,所有可能有 Cookie 没有过期的情况,因为这个时间并没有过服务器的时间呢:

res

ee44279d0be086075d843fd6dd289a95.png

7f5e8745cb3fee8b827ae55af0c471ac.png
  • Size

这个没什么好说的,就是 name 和 value 的大小之和:

8e4381c93a7639dd82649c6a3185c6c0.png
  • HttpOnly

这个是防止遭受了 XSS 攻击之后不让别人获取 Cookie。

注意,这个可不能防止 XSS 攻击,只是降低损失,不让他做一些操作而已。

res

2f04d166553f9f1dfed517e87a02f01c.png
  • Secure

见字识意,就是在 SSL 和 Https 的时候才能传输 Cookie。的确设置了之后前端也是没有这个 Cookie 的。

  • SameSite

这个主要是为了避免 CSRF 攻击,这个比较麻烦,就不举例了,有机会专门总结一下 CSRF。

进阶

这部分是别人写的,应该是后端的范畴了,顺便了解一下。

如何考虑分布式 Session 问题?

在互联网公司为了可以支撑更大的流量,后端往往需要多台服务器共同来支撑前端用户请求,那如果用户在 A 服务器登录了,第二次请求跑到服务 B 就会出现登录失效问题。

分布式 Session 一般会有以下几种解决方案:

Nginx ip_hash 策略,服务端使用 Nginx 代理,每个请求按访问 IP 的 hash 分配,这样来自同一 IP 固定访问一个后台服务器,避免了在服务器 A 创建 Session,第二次分发到服务器 B 的现象。

Session 复制,任何一个服务器上的 Session 发生改变(增删改),该节点会把这个 Session 的所有内容序列化,然后广播给所有其它节点。

共享 Session,服务端无状态话,将用户的 Session 等信息使用缓存中间件来统一管理,保障分发到每一个服务器的响应结果都一致。

(完)

参考资料

- [MDN](Set-Cookie)

- [你真的了解 Cookie 和 Session 吗](你真的了解 Cookie 和 Session 吗)

weixin_39886841
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JS操作Cookie写入和读取实例代码
12-08
- **同源策略**:Cookie遵循同源策略,即只能访问同源(协议+域名+端口)的Cookie。 理解并熟练运用这些JS操作Cookie的方法,可以帮助开发者更好地处理客户端的状态管理,提供更个性化的用户体验。在实际应用中,...
Cookie
qq_30436011的博客
12-10 1556
一、 Cookie Cookie是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态。Cookie 使基于无状态的HTTP协议记录稳定的状态信息成为了可能。 Cookie主要用于以下三个方面: 会话状态管理(如用户登录状态、购物车、游戏分数或其它需要记录的信息) 个性化设置(如用户自定义设置、主题等) 浏览器行为跟踪(如跟踪分析用户行为等) 二、Cookie的一些属性
java cookie domain 端口_Web开发小贴士 全面了解Cookie
weixin_39616056的博客
11-29 622
作者:descire链接:http://www.imooc.com/article/286535一、Cookie的出现浏览器和服务器之间的通信少不了HTTP协议,但是因为HTTP协议是无状态的,所以服务器并不知道上一次浏览器做了什么样的操作,这样严重阻碍了交互式Web应用程序的实现。针对上述的问题,网景公司的程序员创造了Cookie。二、Cookie输服务器端在实现Cookie标准的...
Cookie在同域名不同端口共用问题
qq_41995320的博客
11-11 3772
最近在开发三个后台系统,用的是同一套前端模板。开发完毕之后发现本地同时启动三个端,如果一端登录,另一端会提示登录过期。后来发现是cookie串了 以下是三端在本地的地址 http://172.16.200.36:9500 http://172.16.200.36:9501 http://172.16.200.36:9502 三个端都能访问到cookie,有悖于我所了解的同源策略相关知识。 结论:Cookie的作用域仅仅由domain和path决定,与协议和端口无关。 参考博客:谨记:Co.
java cookie domain 端口_node 中间层如何转存 cookie
weixin_39786706的博客
12-02 178
前言随着前后端服务的分离、主业务服务(java)的“下沉”,类似 BFF(Backends For Frontends)架构的雏形越来越多。node.js 一个能跑 js 的运行平台,让越来越多的前端工程师无语言学习障碍的加入了 node 服务端的阵营。相信多数团队和我们一样,node 作为一个中间层连通着客户端和后端服务,处理着各种各样的事情。这篇就简单讲下 node 端如何转存 cookie ...
php跨域cookie共享使用方法
12-18
同源策略是浏览器为了保护用户安全而设定的一种机制,它规定了只有来自同一协议(httphttps)、同一域名、同一端口的网页之间才能互相通信,包括发送Ajax请求、读取Cookie等。当涉及到不同源的请求时,这些操作将...
Jquery操作cookie记住用户名
11-24
$.cookie(COOKIE_NAME, $('#username').val(), { path: '/', expires: 10 }); } else { // 清除用户名 Cookie $.cookie(COOKIE_NAME, null, { path: '/' }); } }); }); 请输入用户名"> ...
解决ajax跨域请求数据cookie丢失问题
12-08
在Web开发中,由于同源策略的限制,Ajax请求通常无法跨域获取数据,这会导致在处理登录状态、用户信息等需要使用cookie的情况时出现问题。本文将深入探讨如何解决Ajax跨域请求cookie丢失的问题。 首先,理解同源...
java设置Domain为一级域名以解决cookie跨域的问题
热门推荐
weixin_40170892的博客
07-06 1万+
原因: 在做JWT权限验证的时候,前台的同事要求后台把返回的token放到Cookie中,但是cookie是不能跨域的(原本是通过响应头给的),这就造成了页面跳转时请求头带不上cookie中的token。这时只要把Domain设置成.+一级域名那么就能解决cookie跨域的问题了。 解决方法: 就是这句代码:response.addHeader(“Set-Cookie”, token的名字=tok...
前端把cookie写在父域_关于前后端写入Cookiedomain一个问题
weixin_28894423的博客
12-30 646
正文前端先假设有如下setCookie方法:function setCookie(name, value, day, path, domain){day = day || 30;path = path || '/';var str = name + '=' + value + '; ';if(day) str += 'expires=' + new Date(Date.now() + day * ...
java cookie domain 端口_记一次后台注入cookie
weixin_39923599的博客
12-02 554
快两个月没有日记了,过了将近一个月猪一样的生活,天天吃了睡睡了吃,也都不学习。这两星期在家办公,在调试后台注入cookie遇见了一些问题,记录一下。跨域这件事,就不谈了,说一些小细节。当前端请求不携带cookie的时候,服务端设置: 'Access-Control-Allow-Origin': '*' 这时候不会报跨域的错误。当前端设置了允许携带cookie: 设置withCredentials为...
Cookie的作用域不区分协议和端口
前端蜗牛君
08-02 1774
如果cookie一个端口上运行的服务可读,则cookie也可由在同一服务器的另一个端口上运行的服务读取。如果cookie一个端口上可由服务写入,则cookie也可由在同一服务器的另一个端口上运行的服务写入。出于这个原因,服务器不应该在同一主机的不同端口上运行相互不信任的服务,并使用cookie来存储安全敏感信息。在http://localhost:3000和http://localhost:4000之间跳转时,Chrome会相同cookie,每个服务都无法理解cookie并生成新的cookie。.
java Cookie操作
清晨
04-13 2701
javaCookie的使用 原文:http://shukuiyan.iteye.com/blog/1587075 1、什么是cookie        浏览器与WEB服务器之间是使用HTTP协议进行通信的,当某个用户发出页面请求时,WEB服务器只是简单的进行响应,然后就关闭与该用户的连接。因此当一个请求发送到WEB服务器时,无论其是否是第一次来访,服务器都会把它当作第一次来对待,这
javaCookie的使用
yan
07-12 227
1 什么是cookie 浏览器与WEB服务器之间是使用HTTP协议进行通信的,当某个用户发出页面请求时,WEB服务器只是简单的进行响应,然后就关闭与该用户的连接。因此当一个请求发送到WEB服务器时,无论其是否是第一次来访,服务器都会把它当作第一次来对待,这样的不好之处可想而知。为了弥补这个缺陷,Netscape开发出了cookie这个有效的工具来保存某个用户的识别信息,因此人们昵称为“小甜饼”。...
JsonP
欢迎来到我的博客,一起学习Java!
10-11 948
什么是 JsonP Jsonp(JSON with Padding) 是 json 的一种"使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据。 为什么我们从不同的域(网站)访问数据需要一个特殊的技术(JSONP )呢?这是因为同源策略。 什么是跨域? 跨域是指一个域(网站)下的文档或脚本试图去请求一个域(网站)下的资源。 什么是同源策略? ...
javacookie的作用域_cookie的作用域
weixin_34329963的博客
02-13 785
当我们给网站设置cookie时,大家有没有发现在网站的其他域名下也接收到了这些cookie。这些没用的cookie看似不占多少流量,但如果对一个日PV千万的站点来说,那浪费的资源就不是一点点了。因此在设置cookie时,对它的作用域一定要设置准确了。我们都知道在PHP中用setcookie 来设置网站的cookie,该函数的用法如下:bool setcookie ( string $name [,...
javacookie_老生常谈javacookie的使用
weixin_31966615的博客
02-12 160
1 什么是cookie浏览器与WEB服务器之间是使用HTTP协议进行通信的,当某个用户发出页面请求时,WEB服务器只是简单的进行响应,然后就关闭与该用户的连接。因此当一个请求发送到WEB服务器时,无论其是否是第一次来访,服务器都会把它当作第一次来对待,这样的不好之处可想而知。为了弥补这个缺陷,Netscape开发出了cookie这个有效的工具来保存某个用户的识别信息,因此人们昵称为“小甜饼”。co...
iframe设置cookie
最新发布
05-30
3. 如果主页面和 iframe 页面使用的是不同的端口号,则无法设置 cookie。 下面是使用 JavaScript 在 iframe 中设置 cookie 的示例代码: ```javascript document.cookie = "name=value;domain=example.com;path=/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值