Cookie和Session

已于 2023-03-17 09:27:36 修改
阅读量547 收藏
点赞数 1
分类专栏: JavaScript 文章标签: firefox 服务器 前端
于 2021-11-15 16:42:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57844432/article/details/121336810
版权

Cookie

        Cookie意为“甜饼”,是由W3C组织提出,最早由Netscape社区发展的一种机制。目前Cookie已经成为标准,所有的主流浏览器如IE、Netscape、Firefox、Opera等都支持Cookie。

  由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是Cookie的工作原理

cookie使用

        安装cookie

//
npm i cookie-parser -S

        引入cookie

let cookieParser = require('cookie-parser');

        使用cookie

//第三方中间件
//app.use(cookieParser()); //未加密

app.use(cookieParser('lanhu')); // 签名  加密


router.get('/myCode', (req, res) => {
    res.cookie('code', captcha.text })  //未加密

    res.cookie('code', captcha.text, {
        singed: true //使用加密形式
    })

    res.send('ok');
})

cookie的特点:

  • 容易被篡改

  • cookie大小有限制

  • 安全性不太好

Session

        在WEB开发中,服务器可以为每个用户浏览器创建一个会话对象(session对象),注意:一个浏览器独占一个session对象(默认情况下)。因此,在需要保存用户数据时,服务器程序可以把用户数据写到用户浏览器独占的session中,当用户使用浏览器访问其它程序时,其它程序可以从用户的session中取出该用户的数据,为用户服务。

        会话(session)跟踪,会话:指用户登录网站后的一系列动作,比如浏览商品添加到购物车并购买session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是sesscookie。session通过在服务器端记录信息确定用cookie通过在客户端记录信息确定用户身份

        简单来讲,session是特殊的cookie,解决了cookie一定的安全问题

session使用

        安装session

//
npm i express-session -S

       引入session 

let expressSession = require('express-session');

       使用session

//第三方中间件
app.use(expressSession({
    resave: true,//强制刷新
    saveUninitialized: true,    //
    secret: 'lanhu'     //签名  
}));

router.get('/myCode', (req, res) => {
    req.session.ccccode=captcha.text;//将数据保存到session中

    res.send('ok');
})

cookie和session的区别

cookie与session的区别:

  • cookie数据存放在客户端(浏览器);session数据存放在服务端(后台)

  • cookie有大小限制;session没有大小限制

  • cookie容易被篡改;session不容易被篡改,安全性相对高

  •  session保存在服务器,客户端不知道其中的信息;cookie保存在客户端,服务器能够知道其中的信息

  • session中保存的是对象,cookie中保存的是字符串 ,session 可以放在 文件、数据库、或内存中都可以

  • session 的运行依赖 session id,而 session id 是存在 cookie 中的,也就是说,如果浏览器禁用了 cookie ,同时 session 也会失效(但是可以通过其它方式实现,比如在 url 中传递 session_id)

samesite问题

Google 在2020年2月4号发布的 Chrome 80 版本(schedule:https://www.chromestatus.com/features/schedule)中默认屏蔽所有第三方 Cookie,即默认为所有 Cookie 加上 SameSite=Lax 属性(Cookies default to SameSite=Lax - Chrome Platform Status),并且拒绝非Secure的Cookie设为 SameSite=None(Reject insecure SameSite=None cookies - Chrome Platform Status) SameSite的作用就是防止跨域传送cookie,从而防止 CSRF 攻击和用户追踪,此举是为了从源头屏蔽 CSRF 漏洞。 关于 SameSite 属性的介绍,可参考阮一峰的《Cookie 的 SameSite 属性》。

上述问题中,在当前系统访问第三方系统时,带了一些cookie过去,然后被这个SameSite机制拦截掉了。

风雨兼程^_^
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
稳了!这才是cookiesession与token的真正区别
javaQQ561487941的博客
04-26 1万+
发展史 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求, 每个请求对我来说都是全新的。这段时间很嗨皮。 2、但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪...
浅谈COOKIESESSION区别
10-23
在PHP面试中经常碰到请阐述sessioncookie的区别与联系,以及如何修改两者的有效时间。具体来说cookie机制采用的是在客户端保持状态的方案,而session机制采用的是在服务器端保持状态的方案。
Springboot中登录后关于cookiesession拦截问题的案例分析
09-07
主要介绍了Springboot中登录后关于cookiesession拦截案例,本文通过实例图文相结合给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
html5新增属性cookies,关于cookie的SameSite属性
weixin_34357833的博客
06-03 1003
关于cookie的SameSite属性,我们其实可以看阮一峰老师的这篇:Cookie 的 SameSite 属性大致在这里就概况下1,SameSite 是谷歌浏览器针对 cookie 新增的一个属性,主要作用就是为了防止 CSRF 攻击和用户追踪那么关于CSRF攻击是什么,不懂得同学可以看上面那篇阮一峰老师的教程,里面有详细的说明,我们也一句话概括吧,下面:Cookie 往往用来存储用户的身份信息...
HTTP协议发展历程-读阮一峰老师文章笔记
weixin_44121529的博客
04-13 262
HTTP协议 HTTP 协议入门 - 阮一峰的网络日志 HTTP 协议也是互联网的基础协议之一 HTTP 是基于 TCP/IP 协议的应用层协议。它不涉及数据包(packet)传输,主要规定了客户端和服务器之间的通信格式,默认使用80端口。 1、HTTP/0.9 最早版本是1991年发布的0.9版。该版本极其简单,只有一个命令GET。如下: GET /index.html 上面命令表示,TCP 连接(connection)建立后,客户端向服务器请求(request)网页index.h
【JavaScript 教程】浏览器模型—Cookie
web前端开发
03-13 173
作者 | 阮一峰1、概述Cookie服务器保存在浏览器的一小段文本信息,一般大小不能超过4KB。浏览器每次向服务器发出请求,就会自动附上这段信息。...
Cookie 的 SameSite 属性(阮一峰的网络日志)
qq_42967540的博客
09-15 991
Cookie 的 SameSite 属性(阮一峰的网络日志) Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。 一、CSRF 攻击是什么? Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。 举例来说,用户登陆了银行网站your-bank.com,银行服务器发来了一个 Cookie。 Set-Cookie:id=a3fWa; 用户后来又访问了恶意网站ma
学习阮一峰老师-互联网协议笔记(IP/UDP/TCP/HTTP)
weixin_44121529的博客
04-08 3190
学习阮一峰老师互联网协议-笔记
cookiesession如何选择?
iceforg123的博客
03-13 2750
cookiesession的选择 cookie – 存放在客户端,服务器压力小 – 只能存放字段,存放内容有限 – 重要信息(密码等)存入不安全 session – 存放在服务器,太多会导致服务器压力大 – 在服务器因此存放信息安全 – 能存放较多数据 – 基于cookie实现(session_id要通过cookie传送) 若服务器较多需要使用Nginx提供负载均衡时: 将session共享与每个服务器 – 优点:服务器可以实现负载均衡,不会出现粘性负载 – 缺点:共享session开销较大 将
谷歌浏览器 setCookie失败的原因分析(samesite)
qwtt24的博客
08-04 7199
关于cookie的SameSite属性,我们其实可以看阮一峰老师的这篇:Cookie 的 SameSite 属性 大致在这里就概况下 1,SameSite 是谷歌浏览器针对 cookie 新增的一个属性,主要作用就是为了防止 CSRF 攻击和用户追踪那么关于CSRF攻击是什么,不懂得同学可以看上面那篇阮一峰老师的教程,里面有详细的说明,我们也一句话概括吧,下面: Cookie 往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确 Cookie 的 HTTP 请求,这就是 CSRF 攻击。 2,那么Sam
SpringSecurity CSRF引发的思考CookieSession、Token和JWT
wdquan19851029的专栏
12-27 5120
目录 1.最重要的问题: CSRF攻击是怎样跨域拿到cookie的? 2.CSRF 跨站伪造请求 3.CookieSession 4.CookieSession的区别 5.什么是Token(重点) 仅仅用seesion+cookie存在的问题 【疑问?】token放在客户端哪里?客户端是怎么每次取到token的 6.JSON Web Token(JWT) Token和JWT: 1.最重要的问题: CSRF攻击是怎样跨域拿到cookie的? 【疑问?】浏览器对于 cookie
cookiesession区别
12-18
这是一份关于cookiesession的知识文档,有关于cookie是什么,图解,cookie对比session有哪些不好,session是什么图解
cookiesession示例
07-27
cookiesession示例,详情请看:https://blog.csdn.net/yuzhiqiang_1993/article/details/81232914
express之cookiesession
01-20
cookiesession的基本概念与特性在之前的博文中已经有所介绍,所以这里就只简单的写一下express中cookiesession的设置与获取. 1.cookie  HTTP是无状态的链接, 你请求一个网页结束以后,此时你和服务器之间没有任何...
CookieSession并不难
02-10
本文详细的描述了java开发中SessionCookie的区别,更加有利于读者的理解
ThinkPHP的cookiesession冲突造成Cookie不能使用的解决方法
10-25
主要介绍了ThinkPHP的cookiesession冲突造成Cookie不能使用的解决方法,需要的朋友可以参考下
cookiesession
10-16
很好用的cookiesession的区别
解决Laravel无法使用COOKIESESSION的问题
01-03
COOKIESESSION的具体使用百度和官方文档上都有。 但是,文档里没有说明必须经过相应的中间件才能使用,百度搜索结果都是彼此copy的bullshit!!! 方法如图所示,对应的路由必须使用下列中间件,COOKIESESSION才...
CookieSession的区别.txt
03-20
介绍CookieSession的区别,适合做技术开发人员

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值