罗剑锋透视HTTP协议学习笔记---19 | 让我知道你是谁:HTTP的Cookie机制

最新推荐文章于 2021-12-07 09:33:54 发布
最新推荐文章于 2021-12-07 09:33:54 发布
阅读量160 收藏
点赞数
分类专栏: HTTP 笔记 文章标签: http javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45462681/article/details/115025289
版权
笔记 同时被 2 个专栏收录
46 篇文章 0 订阅
订阅专栏
HTTP
44 篇文章 6 订阅
订阅专栏

19 | 让我知道你是谁:HTTP的Cookie机制

HTTP协议是无状态的,即上一次请求和本次请求没有任何关系,对于某些事务性需求,如购物,需要记录访问者身份,如果不能记录用户身份信息,每次请求需要验证身份,显然十分不便。
因此,引入了cookie,由服务端对用户信息做标记,客户端后继请求带上该信息,即解决了身份识别的问题。
cookie【RFC6265】是服务器委托浏览器存储在浏览器本地的kv对形式的用户身份标识信息。

工作流程:

  • 客户端访问页面,执行登录动作
  • 服务端识别用户身份,并在响应报文中用Set-Cookie: key=value + 若干参数设置cookie标识用户身份
  • 客户端后继请求消息中带上相关cookie,标识客户端
  • 服务端通过cookie识别用户身份,并进行后继动作。
    注: cookie不是HTTP标准,它使用的参数之间的分隔符是";“而不是”,"

典型应用:

  • 身份识别
  • 广告追踪

常用字段:
响应字段,每个Set-cookie带一个键值对,Set-cookie可以用多次

  • Set-cookie: x=y
  • Set-cookie: a=b

请求字段,一个Cookie带多个键值对

  • Cookie:x=y;a=b

Cookie的属性用来控制cookie的生存期和访问控制
生存期包括Max-age,Expires,优先使用Max-age:

  • Max-age=10 #注浏览器用收到报文时间+max-age作为cookie的生存期
  • Expires= xxx

控制Cookie的可见URI,包括Domain和path2部分,即仅把cookie发给匹配的URI

  • Domain= URI
  • Path=/

安全性

  • HttpOnly 限制cookie只能通过HTTP协议访问,而不能通过JS访问
  • SameSite= Strict 禁止跨站访问、 Lax 仅安全方式可以跨站访问
  • Secure 仅能用HTTPS传输

课后作业

如果 Cookie 的 Max-Age 属性设置为 0,会有什么效果呢?

  • cookie立即失效。

Cookie 的好处已经很清楚了,你觉得它有什么缺点呢?

  • 如果没有合理设置有效期,有效范围,安全性,如HttpOnly, SameSite等,则有潜在安全风险。
乘风破浪2021
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【推荐】朱剑锋-网易中台的博弈与演进
06-02
剑锋-网易中台的博弈与演进,30页
透视HTTP协议(五) —— 什么是HTTPS
凶残的程序员
09-28 979
1. HTTPS是什么 2. HTTPHTTPS有哪些区别 3. HTTPS 是如何握手的
服务端设置忽略更新_react服务端渲染: cookie如何透传给后端,后端如何设置cookie...
weixin_34634231的博客
01-14 403
原文链接: react服务端渲染: cookie如何透传给后端,后端如何设置cookie​www.douyacun.comreact 服务端渲染 cookie 有2个问题:服务端执行的代码如何拿到cookie并解析透穿给后端接口,后端又如何设置cookie?浏览器执行的代码如何读取cookie?服务端cookie透传明白next的渲染流程很重要:浏览器打开页面 -> node服务请求后端接口...
剑锋透视HTTP协议学习笔记---02 | HTTP是什么?HTTP又不是什么?
James的博客
03-08 211
02 | HTTP是什么?HTTP又不是什么? HTTP 就是超文本传输协议,也就是 HyperText Transfer Protocol。 HTTP 是一个在计算机世界里专门在两点之间传输文字、图片、音频、视频等超文本数据的约定和规范 具体拆解可以从3个维度分析 协议就是一种约定和规范,由多人/计算机参与和共同遵守。既然是协议,也就意味着它是静态的,没有具体的实体,需要由参与方如浏览器,web服务器去实现,虽然遵守相同的协议约定,但不同实现会有差异,也就带来兼容性问题。 传输,是指HTTP的目的,典型
剑锋透视HTTP协议学习笔记---18 | 四通八达:HTTP的重定向和跳转
James的博客
03-19 318
18 | 四通八达:HTTP的重定向和跳转 WEB的精髓就是超文本/媒体,即通过超链接把文件连接起来,形成一种新的网状的文档结构。 超连接可以由用户点击连接主动跳转,也可以通过3xx状态码,配合Location头字段,实现被动跳转。 网页的重定向,即由web服务器,自主的跳转到其它URI,典型3xx状态码有 301代表永久重定向,即原URI永久失效,浏览器,爬虫可据此更新到新URI 302代表临时重定向,即原URI临时生效,未来会恢复,浏览器,爬虫不会更新 303 See others,要求新请求方式是G
C++学习笔记.pdf
08-12
C++学习笔记
论文研究-TD-LTE系统上行性能评估与HPSS技术的研究 .pdf
08-21
TD-LTE系统上行性能评估与HPSS技术的研究,张珂,康剑锋,本文对TD-LTE上行系统,从接收天线类型,上下行时隙配置,小区规模,系统带宽,载波频率这些不同的维度进行了广泛而详细的评估。同
c++学习笔记(自己写的大约有30页)
05-18
C++学习笔记。C++是C语言的继承,它既可以进行C语言的过程化程序设计,又可以进行以抽象数据类型为特点的基于对象的程序设计,还可以进行以继承和多态为特点的面向对象的程序设计。C++擅长面向对象程序设计的同时,...
janus-proxy:代理让 janusvr 连接到带有实时更新的 Scenevr 服务器
06-13
剑锋代理这是 janus 呈现服务器的一个分支,用于连接到一些硬编码的 Scenevr 场景并将它们作为 janus #sync 命令进行流式传输。 这使 janus 客户端能够连接到 scenevr 世界。 这是一个概念验证,并不能在 janusvr 和...
Python int()使用小结
热门推荐
James的博客
10-14 1万+
Python int()使用小结 int()的基本语法格式是int(x,[base=10]),其中base可以省略 int()的作用是把不同进制的数字或数字字符串转为十进制整数。使用中,其行为,参数有一些tricky,需要特别注意。 不带参数返回0,即int() int() 0 取整是简单截断,不是四舍五入,如int(1.5) = 1 int(1.5) 1 参数可以是整数,浮点数,或算术表达式如100/3,但不能是复数,如1+2j int(3) 3 int(3.5) 3
BPF(Berkeley Packet Filter)伯克利抓包过滤器实践
James的博客
08-11 4068
BPF(Berkeley Packet Filter)伯克利抓包过滤器实践 BPF Berkeley Packet Filter是驱动级抓包过滤接口,多数抓包工具都支持该语法 过滤器就是一个表达式,由原语,运算符组成。 原语: 原语是限定符qualifiers(有时也称为keywords)+ID(字符或数字),如 host www.baidu.com, port 80 限定符: type host, net/mask,port, portrange dir dst, src, dst or src[缺省
Python中的逻辑运算and和or
James的博客
10-14 2078
Python中的逻辑运算和其它语言不同,使用中需要注意 运算符优先级:关系运算>逻辑运算 结合性:从左到右 关系运算符之间优先级:(>,>=,<,<=)>(==,!=) 逻辑运算符之间的优先级: not>and>or and运算 对于and,如果and左边的表达式为True,则整个表达式的值为and右边的表达式,否则为左边的表达式的值 ((2>=2) or (2<2)) and 2 T and 2 2 3 and 0 and 5 0 and 5
Python大学排名问题
James的博客
09-27 1948
某次考试遇到一大学排名问题,当时没做出来,现试解如下。 有如下数据文件,包括一组大学排名,包括名次,学校名,所属国别,现要求按特定格式输出 输出格式要求 国别:该国入选高校数量:入选高校列表 如 美国: 2:加州理工,哈佛 英国: 2:牛津,剑桥 中国: 1:清华 # 1,加州理工,美国 # 2,哈佛,美国 # 3,牛津,英国 # 4,剑桥,英国 # 5,清华,中国 fi = open('data.txt', 'r', encoding='utf-8') d = {} for line i
java逻辑表达式的计算和优化
James的博客
10-20 1318
必要的基本知识储备: 运算符优先级 基本原则:算术>关系>逻辑 例外: 逻辑非! >算术 关系运算符细分为2组: ,>=,<,<= 优先级高于==,!= 逻辑运算符: !>&&>|| 假设输入是2,如何计算下面是一个逻辑表达式 if (n == 1 || n % 2 == 0 && n != 2) { 传统做法:快速扫描一下,看到有逻辑||和逻辑&&, 先考虑&&,&&的结
剑锋透视HTTP协议学习笔记---26 | 信任始于握手:TLS1.2连接过程解析
James的博客
04-23 1078
26 | 信任始于握手:TLS1.2连接过程解析 TLS的几种子协议及结构 记录协议(Record Protocol),相当于是一个消息容器,承载其它协议,它包括一个TVL,描述其承载的其它协议 如上图,这是一个Server Hello消息,一条TLS报文,包含了4条TLS handshake Protocol 警报协议(Alert Protocol) 握手协议(Handshake Protocol), type=22,wireshark 中过滤条件tls.record.content_type22或t
windows控制台输入命令的小技巧
James的博客
11-08 1018
为了熟悉Mysql命令,需要做大量练习,反复输入,查看,某些重复性的命令仅用上下箭头查找太慢,怎么办? cmd窗口有一些快捷方式,可以帮助简化这个过程: 查找历史命令,按f7, 会弹出如下窗口,上下定位到命令,回车即可执行 命令太多,从f7弹出窗口上下翻还是太慢怎么办,注意到命令前有序号,记住序号,按f9,输入序号,回车即可 如此,可以大幅提高命令的输入效率,是不是很有用? ...
sed踩坑与实践
James的博客
12-07 923
sed是linux中常用的文本查找替换工具,其功能强大,使用繁复,本文以2例介绍sed实践中的需要注意的小细节。 实验文本:t.txt,目标是通过sed把#root html;前的#去掉。 #root html; 先用grep过滤一下,找到并验证需要sed处理的对象是否满足需要。注:sed里使用时需要把-re替换为-rl [root@test01 vimtest]# grep -re "#root html" t.txt #root html; 然后用sed做替换,下面是正确的命令及替换的效果。
剑锋的c实战笔记 下载
最新发布
09-25
剑锋的C实战笔记》是一本关于C语言编程实战的笔记,它是那些想要深入学习C语言、提升编程实践能力的人们的必备工具书。该书由计算机专家剑锋编写,经过多年的经验积累和实践验证,内容全面且实用。 这本书的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值