cookie
Cookie是一个客户端会话技术,是由服务器端创建,放在响应头发送到客户端保存,用于存储少量数 据,因为存放在客户端中,容易被人编造伪造,不是很安全。一般不用于存储重要信息。它是通过键值对传递信息的。
Cookie是保存在客户端的数据,所以如果不做设定,默认情况下是跟着客户端一起消失,如果设置 setMaxAge(),将会以设置的数值为主,时间到了将会自动消失
- Cookie是服务器通知客户端保存键値对的一种技术
- 客戶端有了 Cookie后,每次请求都发送给服务器
- 每个 Cookie的大小不能超过4kB,超过这个限制cookie中无法存储该数据
Cookie应用场景
- Cookie能使站点跟踪特定访问者的访问次数、最后访问时间和访问者进入站点的路径
- Cookie能告诉在线广告商广告被点击的次数,从而可以更精确的投放广告
- Cookie有效期限未到时,Cookie能使用户在不键入密码和用户名的情况下进入曾经浏览过的一些 站点
- Cookie能帮助站点统计用户个人资料以实现各种各样的个性化服务
- 安全性能差,容易信息泄露
基础编程
添加cookie
Cookie ck1 = new Cookie("username", username); //创建cookie对象,注意cookie中只
能存放字符串,其它数据可以转换为字符串进行存储,默认maxAge为-1,表示采用内存cookie
response.addCookie(ck1); //将cookie发送到客户端读取cookie
Cookie[] cks = request.getCookies();//获取当前应用可以访问的所有cookie
String username = null;
for (Cookie ck : cks) { //遍历所有的cookie,根据名称查找对应的存储数据
if ("username".equals(ck.getName())) {
username = ck.getValue();
}
}void setValue(String newValue) cookie创建后设置一个新的值。
String getName()返回Cookie的名字。名字和值是关心的两个部分
String getValue() 返回Cookie的值
具体的cookie可以分为内存cookie和文件cookie, Cookie ck=new Cookie("username","zhangsan") 时默认maxAge为 -1表示内存cookie,内存cookie在浏览器窗口关 闭后会自动消失;如果需要使用文件cookie则需要设置maxAge,参数为正整数
void setMaxAge(int expiry) 以秒计算,设置Cookie过期时间。注意这个值是cookie将要存在的最大时 间,而不是cookie现在的存在时间。负值表示当浏览器关闭时,Cookie将会被删除。零值则是要删除该 Cookie
int getMaxAge() 返回Cookie过期之前的最大时间,以秒计算。
文件cookie不受当前窗口是否关闭的影响
Cookie ck=new Cookie("name","wangwu"); ck.setMaxAge(15*24*60*60);//需要存储15天,例如15天免登录 response.addCookie(ck);
void setComment(String purpose) 设置cookie中注释。
String getComment()返回cookie中注释,如果没有注释的话将返回空值
String getDomain() 返回cookie中Cookie适用的域名。使用getDomain() 方法可以指示浏览器把Cookie 返回给同 一域内的其他服务器,而通常Cookie只返回给与发送它的服务器名字完全相同的服务器。注意 域名必须以点开始,如.yesky.com)
void setDomain(String pattern) 设置cookie中Cookie适用的域名
String getPath()返回Cookie适用的路径。如果不指定路径,Cookie将返回给当前页面所在目录及其子目 录下 的所有页面
void setPath(String uri) 指定Cookie适用的路径。
其它方法
boolean getSecure() 如果浏览器通过安全协议发送cookies将返回true值,如果浏览器使用标准协议则 返回false值。
int getVersion() 返回Cookie所遵从的协议版本。
void setSecure(boolean flag) 指出浏览器使用的安全协议,例如HTTPS或SSL。
void setVersion(int v) 设置Cookie所遵从的协议版本。
Cookie原理
对于Cookie的实现原理是基于HTTP协议的,其中设计HTTP协议中的两个请求头信息分别为:响应头 set-cookie、请求头cookie
[response.addCookie]当要发送Cookie的时候会有一个响应头set-cookie,里面放着数据,当将来浏览 器在请求服务器资源的时候,会通过一个cookie头把cookie的数据携带到服务器资源里面来请求
Cookie限制性
cookie存储大小一般为4kB,存储个数一般20-53个,视浏览器的不同。
Cookie通讯过程
Cookie在通讯中会经历4个过程:
- 浏览器发送请求
- 服务端接收请求,并返回响应,在报文头中包含set-cookie的字段
- 浏览器接收响应后将Cookie存储,并在之后的请求中都会带上cookie的信息
- 服务端接收请求,并返回响应。
Cookie属性
Cookie的属性有:key/value、Expires、Domain、path、Secure、HttpOnly
- Key/value键值对,cookie按照键值对的模式存储信息
- Expires过期时间,设置某个时间后,cookie会失效
- Domain指定Cookie的域名作用域
- Path是Cookie生成的路径
- Secure只有在HTTPS模式下,服务端才会响应cookie信息
- HttpOnly设为true后,只能通过http访问,不能通过document.cookie获取设定为httponly的键 值,防止xss读取cookie
maxAge
标准用法
Cookie ck=new Cookie("name","wangwu");
// ck.setMaxAge(15*24*60*60);//需要存储15天,例如15天免登录
ck.setMaxAge(0); //删除cookie
response.addCookie(ck);
基于语法 cookie.setMaxAge(60); 单位为秒。
- 当maxAge >0时Cookie将在maxAge秒后自动失效
- 当maxAge =0时Cookie将立刻删除Cookie
- 当maxAge =-1时Cookie的时间过期后cookie依然存在在浏览器上,将存在一段时间或重启浏览器 自动消失。
HttpServletResponse提供的Cookie操作只有一个addCookie,如果要修改Cookie只能用一个同名的 Cookie进行覆盖。
客户端发送的cookie时,只会提交name和value属性,其他属性是不可读的。也不会被提交。即服务端 无法判断Cookie是否过期,获取域名信息等。如在服务端通过cookie.getMaxAge()获取过期时间,读取 的是一个只读属性,值永远为-1。
23万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
