cookie-session

最新推荐文章于 2022-06-21 14:39:44 发布
最新推荐文章于 2022-06-21 14:39:44 发布
阅读量1.2k 收藏
点赞数
分类专栏: Web 文章标签: 后端 前端 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41565755/article/details/120377620
版权

目录

一、cookie 和 session

1、cookie

2、session

3、总结:

二、cookie 设置

一、cookie 和 session

       cookie 和 session 都是一块存储区域,主要是给服务端用的(当然客户端可以使用 cookie),作用:(1)认证客户端(2)区别存取与客户端相关的数据。

1、cookie

(1)cookie 是什么

       存储在客户端,即在客户端/浏览器端划分出的一块存储区。存储的是一条一条的记录,每条记录由多个 k-v 键值对组成,其中一个为主体,即数据,其他为针对该条记录的配置,如过期时间、http-only等。

       每次请求时,请求头 Cookie 字段将复制 cookie 存储的 记录。

(2)存储权限

       客户端和服务端都可以向 cookie 中存储记录。

       客户端自然可以存取 cookie 中的记录。

       服务端通过在 response 中设置 "Set-Cookie" 字段来向客户端追加/设置 cookie。

(3)cookie 的作用

       a. 认证

       客户端在登录成功后,服务端生成令牌,将令牌存储,并将 令牌 放在 cookie 中(或返回令牌后由客户端放入 cookie 中),在之后的请求中,服务端每次从 Cookie 中取令牌,验证令牌是否存储。

       cookie 存令牌有 csrf、xss 攻击风险,是不安全的,安全的做法是:

       客户端在登录成功后,服务端生成令牌,将令牌存储,并将 令牌 返回给 客户端(不存入 cookie),在之后的请求中,客户端将令牌放入 Header 中(设置一个新字段如X-Token),服务端每次从 Header 中取令牌,验证令牌是否存储。

       b. 区分客户端,存储与客户端相关的数据

       数据在客户端存储,减轻了服务器的数据存储压力,尤其是客户端比较多的情况,如CC攻击。

       数据靠客户端存储,敏感数据不便存储,即便加密也不是很安全。

       每次请求都需要携带 cookie 的数据,加大了网络传输的压力,只适应于小数据量。

2、session

(1)session 是什么

       存储在服务端,即在服务端划分出的一块存储区域,但它并没有规定具体存储在哪里,可以是内存、文件、缓存中间件、数据库等。

       session 相对于 cookie,只是把 数据存储 从 客户端 转移到了 服务端,相当于 在服务端 为每个客户端 开辟了一块 专用存储区。

       对于每个客户端,生成一个 sessionid 存入 cookie,这样每次请求时,通过 Cookie 字段中的 sessionid 即可索引到对应的 session 区域。

(2)存储权限

       session 是服务端自维护的,只有服务端才能将数据存入 session。

       对于客户端来说,只能看到 cookie 中有一条 sessionid 的记录,看不到 session 中存储的数据。

(3)session 的作用

       a. 认证

       客户端在登录成功后,服务端生成令牌,将令牌存入 session,并将 令牌 放在 cookie 中(或返回令牌后由客户端放入 cookie 中),在之后的请求中,服务端每次从 Cookie 中取令牌,验证令牌是否存储在 session 中。

       cookie 存令牌有 csrf、xss 攻击风险,是不安全的,安全的做法是:

       客户端在登录成功后,服务端生成令牌,将令牌存入 session,并将 令牌 返回给 客户端(不存入 cookie),在之后的请求中,客户端将令牌放入 Header 中(设置一个新字段如X-Token),服务端每次从 Header 中取令牌,验证令牌是否存储在 session 中。

       b. 区分客户端,存储与客户端相关的数据

       数据在服务端存储,数据安全,减轻了数据传输压力,且可以存储的数据量大。

       数据在服务端存储,客户端比较多,数据量比较大的情况下占用的存储多。

3、总结:

(1)cookie 和 session 都是一块存储区域,主要是给服务端用的(当然客户端可以使用 cookie),作用:区别存取与客户端相关的数据。

(2)cookie 存储在客户端,每次请求时请求头携带 Cookie,这样服务端就能获取客户端数据。

(3)session 存储在服务端,只是将 sessionid 存储在 客户端(默认存 cookie,也可以不存 cookie),服务端拿到每次请求的 sessionid,就可以索引到对应的 session 存储区,获取客户端数据。

(4)session 相对于 cookie,只是将 客户端数据存储 由 客户端 转移到了 服务端,相当于服务端为每个客户端开辟了一块专用存储区。cookie 存储小,可以存储不敏感的信息,session 存储大,比较安全。 

(5)出于安全考虑,cookie 不存令牌,容易遭到 csrf、xss 攻击。

二、cookie 设置

1、参数设置

//func (c *Context) SetCookie(name, value string, maxAge int, path, domain string, secure, httpOnly bool)

	var (
		name     = "user"
		value    = form.User
		maxAge   = 10 //s
		path     = "/"
		domain   = ""
		secure   = true
		httpOnly = true
	)
	c.SetCookie(name, value, maxAge, path, domain, secure, httpOnly)

	// MaxAge=0 means no 'Max-Age' attribute specified.
	// MaxAge<0 means delete cookie now, equivalently 'Max-Age: 0'
	// MaxAge>0 means Max-Age attribute present and given in seconds

//func (c *Context) Cookie(name string) (string, error) 
    value, _ := c.Cookie("key")

2、参数简介

(1)Max-Age

过期:    >0                   >0

不过期:session           =0

删除       -                      <0

(2)HttpOnly

       HttpOnly 是加在 cookie 记录上的一个标志,该标识告诉浏览器不要将 cookie 展示给客户端。设置该选项可以有效避免 XSS 攻击(攻击者可通过 XSS 脚本获取 cookie 内容)。

       当设置 HttpOnly 标识后,浏览器就会知道到这是特殊的 cookie,只能由服务器检索到,所有来自客户端脚本的访问都会被禁止,前提是使用新版的浏览器(>= IE6)。

(3)Security

       Security 标志会强制浏览器通过 HTTPS 等加密通道发送 cookie,这会阻止窃听,尤其是当 HTTPS 连接通过 SSLStrip 等工具降级为 HTTP 时。

3、Cookie 与跨域

       根据同源策略,cookie 是区分端口的,但是对浏览器来说,cookie是区分域,不区分端口的,在一个ip地址下多个端口的 cookie 是共享的。

[ Security ] WEB安全 ( 三 ) 之 Cookie安全策略

Cookie的Secure属性

cookie在不同端口号可以共享吗

小猪快点跑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cookie-session:基于cookie的简单会话中间件
02-04
cookie-session不需要服务器端的任何数据库/资源​​,尽管会话的总数据不能超过浏览器的最大cookie大小。 cookie-session可以简化某些负载平衡方案。 cookie-session可用于存储“轻量”会话,并包含一个标识符以...
flask-session-cookie-manager-master.zip
09-05
本项目“flask-session-cookie-manager-master.zip”显然是一款针对Flask Web框架的session管理工具,它专注于session的加密与解密。Flask是一个轻量级的Python Web服务器网关接口(WSGI)应用框架,广泛用于快速...
Cookie——Session
kanbujian
05-25 459
Cookie Session是跨越编程语言的网站开发的基础知识,对于web application开发的基础。 首先我们知道http协议是面向无连接的,但是很明显在我们日常的网上操作中需要各个网页之间有信息的传递!例如,网上商城的购物车,以及简单的用户登录,这时候就需要cookie 或者session来保存用户的一些信息!1. Cookie cookie是保存在客户端的键值对数据,类似于map。
Cookie-Session
weixin_30487201的博客
01-17 109
会话:用户打开浏览器,点击多个链接,访问服务器多个web资源,到关闭浏览器的过程称为一个会话。 会话产生的两种技术:CookieSession Cookie     Cookie客户端技术,程序把每个用户的数据以cookie的形式写本地浏览器。当用户使用浏览器再去访问服务器中的web资源时,就会带着各自的数据去。这样,web资源处理的就是用户各自的数据了。     CookieA...
cookiesession的认识和区别
明天再过后
09-09 631
cookie是在客户机端保持回话的方,而session则是
Cookie-Session讲解
A_Tu_daddy的博客
06-21 176
会话:用户打开一个浏览器,点击了很多超链接,访问多了web资源,关闭浏览器,这个过程可以称之为会话。 有状态会话:一个同学来过教室,下次再来教室,我们会知道这个同学,曾经来过教室,称之为有状态会话。 你怎么证明你是一个学生?一个网站怎么证明你来过? 客户端 服务端cookie:客户端技术(响应、请求)session:服务器技术,利用这个技术,可以保存用户的会话信息?我们可以把信息或者数据放在Session中!常见常例:网站登录之后,下次不用在登陆了,第二次访问就直接能上去了。 Cookie:一般会保存在本
flask-session-cookie-manager
01-29
标题“flask-session-cookie-manager”指的是一个Python应用,它专门针对Flask框架,用于管理和操作session cookie。在Web开发中,session cookie是服务器用来跟踪用户状态的一种方式,特别是在无状态的HTTP协议上...
nestjs-cookie-session:NestJS的惯用Cookie会话模块。 建立在`cookie-session` top之上
02-05
nestjs-cookie-session NestJS的惯用Cookie会话模块。 建立在之上 :smiling_face_with_sunglasses: 例 注册模块: // app.module.ts import { Module } from '@nestjs/common' ; import { ...
Cookie-Session机制详解.docx
02-14
Cookie-Session 机制详解 Cookie 机制是 Web 程序中常用的技术,用来跟踪用户的整个会话。Cookie 通过在客户端记录信息确定用户身份。Cookie 的工作原理是当客户端请求服务器,如果服务器需要记录该用户状态,就...
Cookie&Session
weixin_43185348的博客
04-07 75
##中文文件下载 针对浏览器类型,对文件名字做编码处理 Firefox (Base64) , IE、Chrome … 使用的是URLEncoder /* * 如果文件的名字带有中文,那么需要对这个文件名进行编码处理 * 如果是IE ,或者 Chrome (谷歌浏览器) ,使用URLEncoding 编码 * 如果是Firefox , 使用Base64编码 */ //获取来...
cookie-session-用户注册
qq_36349372的博客
04-19 253
cookie ```python #设置cookies import datetime def set_cok(request): response=HttpResponse('设置cookies'); #设置cookies名 response.set_cookie('name','du') #设置cookies名和最长时间 response.set...
Cookie Session详解
路在何方
04-04 626
一.cookie 网上摘抄前言:在了解这三个概念之前我们先要了解HTTP是无状态的Web服务器,什么是无状态呢?就像上面夏洛特烦恼中经典的一幕对话一样,一次对话完成后下一次对话完全不知道上一次对话发生了什么。如果在Web服务器中只是用来管理静态文件还好说,对方是谁并不重要,把文件从磁盘中读取出来发出去即可。但是随着网络的不断发展,比如电商中的购物车只有记住了用户的身份才能够执行接下来的一系列动作...
cookiesession详解
m0_46657493的博客
03-29 2140
背景:http是一个无状态的协议,短连接(每次请求和响应都会新建连接及关闭连接) 注:http1.1提供了长连接 cookie概念 定义: cookies 是存储在客户端计算机上的文本文件,并保留了用户的各种跟踪信息 作用: 会话保持,如完成用户的登录与状态保持 cookie工作原理: 客户端向服务区发起登录请求 服务器脚本向浏览器发送一组 Cookies。例如:姓名、年龄或识别号码等。 浏览器将这些信息存储在本地计算机上,以备将来使用。 当下一次浏览器向 Web 服务器发送任何请求时,浏览器会把这些
详解HTTP协议中的Cookie-Session
weixin_47651920的博客
03-03 3323
一.什么是CookieSession
CookieSession详解
m0_52675592的博客
05-27 123
文章目录Cookie简介工作原理工作步骤作用缺陷Session简介工作原理CookieSession的区别 CookieSession都是用来跟踪浏览器用户身份的会话方式。 Cookie 简介 HTTP协议是无状态的,即服务器不知道用户上一次做了什么,这严重阻碍了交互式web应用程序的实现。 举个例子:在网购场景中,用户浏览了几个页面,买了一盒饼干和两瓶饮料,最后结账时,由于HTTP的无状态性,不通过额外的手段,服务器并不知道用户买了什么。为了解决这个问题,就需要使用Cookie。服务器可以设置或读
Cookie/Session机制详解
专注自动化、性能测试、测试架构学习交流
10-12 479
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。本章将系统地讲述CookieSession机制,并比较说明什么时候不能用Cookie,什么时候不能用Session。1.1 Cookie机制在程序中,会话跟踪是很重要的事情。理
关于NodeJS的CookieSession机制
yutiansut的博客
04-22 955
学习Nodejs有一段时间了,一直没有去整理关于CookieSession的机制,今天静下心去码码字。 首先引用这几个模块var cookieSession = require('cookie-session') var session = require('express-session'); //如果要使用session,需要包含这个模块 var cookieParser = require
cookie-session模块如何使用
最新发布
06-03
const cookieSession = require('cookie-session'); const express = require('express'); const app = express(); app.use(cookieSession({ name: 'session', keys: ['key1', 'key2'] })); ``` 在上面的代码中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值