HTTP ·cookies

最新推荐文章于 2022-08-21 21:23:13 发布
最新推荐文章于 2022-08-21 21:23:13 发布
阅读量939 收藏
点赞数
文章标签: http 服务器 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wx_tracy/article/details/124649628
版权

一、认识cookie

1.HTTP Cookie是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态。

2.致命缺点:

指定cookie后,浏览器每次请求都会带上cookie数据这样会有额外的性能开销

3.用途:

会话状态管理,例如记录用户登录状态,购物车信息等

个性化设置,例如用户的自定义设置

浏览器行为跟踪

二、创造一个cookie

1.Set-Cookie响应头部:当服务器收到 HTTP 请求时,服务器可以在响应头里面添加一个Set-Cookie选项向向用户代理(一般是浏览器)发送 Cookie信息

语法:

Set-Cookie: <cookie名>=<cookie值>

2.服务器通过Set-Cookie响应头部来告知客户端他需要保存的Cookie响应头部,后来,对该服务器发起的每一次新请求,浏览器都会将之前保存的Cookie信息通过 Cookie 请求头部再发送给服务器。

3.先设置Set-Cookie响应头部在编写请求头部

HTTP/1.0 200 OK
Content-type: text/html
Set-Cookie: yummy_cookie=choco
Set-Cookie: tasty_cookie=strawberry

GET /sample_page.html HTTP/1.1
Host: www.example.org
Cookie: yummy_cookie=choco; tasty_cookie=strawberry

三、生命周期

1.定义方式:
①取决于过期时间(Expires)或有效期(Max-Age)指定的一段时间(需要自己手动设置)。<持久性Cookie>

②浏览器关闭之后它会被自动删除,不用指定任何时间和期效,但有浏览器提供了会话恢复功能,这种情况下即使关闭了浏览器,会话期Cookie 也会被保留下来<会话期 Cookie >

2.注意:当Cookie的过期时间被设定时,设定的日期和时间只与客户端相关,而不是服务端。

四、限制访问Cookie

Secure 属性和HttpOnly 属性可以确保 Cookie 被安全发送,并且不会被意外的参与者或脚本访问

1.Secure 属性:只通过被 HTTPS 协议加密过的请求发送给服务端,但因为Cookie 固有的不安全性,Secure 标记也无法提供确实的安全保障,因此不可用 Cookie 传输敏感信息

四、Cookie的作用域

Domain 和 Path 标识定义了Cookie的作用域(允许 Cookie 应该发送给哪些URL)

1.Domain属性——指定了哪些主机可以接受 Cookie

默认为origin,不包含子域名,指定了的 话一般就会包含子域名

2.Path属性——指定了主机下的哪些路径可以接受 Cookie(该 URL 路径必须存在于请求 URL 中)

以"/"作为路径分隔符,那么该g路径的子路径也会被匹配到

五、SameSite attribute

阻止跨站请求伪造攻击:SameSite Cookie允许服务器要求某个 cookie 在跨站请求时不会被发送

1.属性值

  • None浏览器会在同站请求、跨站请求下继续发送 cookies,不区分大小写。
  • Strict浏览器将只在访问相同站点时发送 cookie。(在原有 Cookies 的限制条件上的加强)
  • Lax与 Strict 类似,但用户从外部站点导航至URL时(例如通过链接)除外。 在新版本浏览器中,为默认选项,Samesite cookies 将会为一些跨站子请求保留,但只有当用户从外部站点导航到URL时才会发送(如 link 链接)

六、Cookie prefixes

1.两个前缀

①__Host-

(1)仅当它也用 Secure 属性标记,(2)是从安全来源发送的,(3)不包括 Domain 属性,并将 Path 属性设置为 / 时,他才在Set-Cookie标头中接受

②__Secure-

(1)仅当它也用 Secure 属性标记,(2)是从安全来源发送的,他才在Set-Cookie标头中接受

__Secure-限制要弱于 __Host- 前缀。带有这些前缀点 Cookie, 如果不符合其限制的会被浏览器拒绝

七、JS 通过 Document.cookie 访问 Cookie

 Document.cookie 属性既可创建新的 Cookie,也可通过该属性访问非HttpOnly标记的Cookie。但是通过 JavaScript 创建的 Cookie 不能包含 HttpOnly 标志。

八、缓解涉及Cookie的攻击

信息被存在 Cookie 中时,cookie 的值是可以被访问,且可以被终端用户所修改的。故当机器处于不安全环境时,切记不能通过 HTTP Cookie 存储、传输敏感信息。

1.使用 HttpOnly 属性可防止通过 JavaScript 访问 cookie 值。且也一定的缓解了会XSS

2.用于敏感信息的 Cookie 的生存期应较短,并且 SameSite 属性设置为Strict 或 Lax

WX_Tracy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
http cookies
04-29
HTTP Cookies是互联网上的一种机制,用于在客户端(用户的浏览器)和服务器之间存储和传递小量信息。这个概念在Web开发中扮演着至关重要的角色,它主要用于维持用户会话、个性化用户体验、跟踪用户行为以及实现某些...
HTTP cookies 详解
02-20
概述概述原文出处http//bubkoocom//04/21/http-cookies-explained/作者bubkooHTTPcookies通常称之为“cookie”已经存在很长时间了但是仍然没
http cookie的domain使用
weixin_34092455的博客
03-20 2192
  问题描述  最近遇到了一个因cookie domain设置不正确导致公司自研的分布式session组件无法生效的问题。  公司自研的这套分布式session组件依赖于设置在cookie中的sessionId,请求到后端时经过特定的filter处理,当发现cookie中不存在指定的sessionId值时,会重新生成一个sessionId种入到cookie中,如果存在就根据该sessionId的值...
跨服务存储传递HttpContext Cookies
jclpc的专栏
10-13 1017
场景:通过HttpClient向第三方服务平台发起接口请求,多个接口间Cookies有关联需要保持统一。 考虑到自己的接口服务存在并发,所以决定将Cookies转换成参数并返回给客户端,以便客户端进行下一个接口请求时保持会话统一。 1.首先从hc请求返回的HttpContext中获取Cookies BasicCookieStore cookie = (BasicCookieStore
正确使用cookie中的domain
寬真
07-18 3万+
 看规则,尝试使用规则,记录问题,多次使用使之熟练。今天发现vue中的this.$router.push()不熟悉了。做记录并不代表不会忘,只是为了能够理清逻辑,加深印象。 本文内容有复制粘贴其他博主的内容,在此谢过了。 问题: 今天遇到一个不新但是不常用的技术:cookie。做统一登录平台,要求实现统一登录平台登录之后,其他平台都可以直接登录进入登录状态,不用再登录了。他们提的技术方案是用...
cookie的domain实战
webbc的博客
06-05 4197
setcookie方法bool setcookie ( string $name [, string $value [, int $expire = 0 [, string $path [, string $domain [, bool $secure = false [, bool $httponly = false ]]]]]] )在setcookie方法中,第5个参数是domain参数,通过这
Slim-HttpCookies:管理 HTTP cookie 的服务提供商
05-29
《Slim-HttpCookies:高效管理HTTP Cookie的利器》 在Web开发中,HTTP Cookie是用于在客户端和服务器之间传递状态信息的重要工具。它允许服务器在用户的浏览器上存储数据,以便在后续请求中识别用户,实现会话管理...
jquery-cookies:jCookies,一个 jQuery 插件,让获取和设置 HTTP Cookies 变得轻而易举
07-01
在Web开发中,HTTP Cookies是用于存储客户端数据的一种常见机制。它们对于跟踪用户会话、保存用户偏好设置或实现其他与用户交互的功能非常有用。`jQuery Cookies`,又称`jCookies`,是一个方便的jQuery插件,它简化...
java http 操作cookies
09-22
Cookies作为HTTP协议的一个重要组成部分,用于在客户端和服务器之间持久保存状态信息。本篇文章将深入探讨如何在Java中处理HTTP请求和响应中的Cookies。 首先,了解Cookies的基本概念。Cookies是由Web服务器发送到...
HTTP中的Cookie、Set-Cookie
XHT117的博客
08-21 3596
HTTP中的Cookie、Set-Cookie
Http中set-cookie内domain属性的理解
doStruggle的博客
11-06 4238
MDN-Set-Cookie文档 正确使用cookie中的domain
Http Cookie 测试 Domain & Path
云淡风轻
02-10 2448
参考: http://blog.csdn.net/lijing198997/article/details/9378047 http://stackoverflow.com/questions/1062963/how-do-browser-cookie-domains-work Domain and Path 作用:定义Cookie的生效作用域,只有当域名和路径同时满足的时候,浏览器才会将C
cookie的domain属性
热门推荐
longgege001的博客
07-31 9万+
欢迎大家光临我的个人博客,详戳 https://545longgege.top/ 最近在改一个bug单时,有个问题涉及到了cookie的domain属性,大致场景是由于不同的服务页面出现了同名的cookie但是domain域不同,导致出现了不可思议的bug。于是查询与cookie的domain属性相关的资料并记录之。 1、什么是Cookie? Cookie是由W3C组织提出,最...
asp.net cookie操作-添加cookie,添加键值,移除cookie,移除键值
我不是大牛,我只是个搬运工!
03-22 4188
public class Cookies { /// /// 添加cookie /// /// /// public static void Add(string cookieName, string value) { HttpCookie cookie = new HttpCookie(HttpUtility.UrlEncode(cookieName), HttpUti
HttpCookie用法
weixin_41154756的博客
07-10 8716
实例化HttpCookie 例:HttpCookie cookie=new HttpCookie("cookie名称") 使用values属性(add)添加属性以及变量,例:cookie.Values.Add("属性名",变量) 使用Expires设置过期时间 例:cookie.Expires=DateTime.Now.AddDays(360)//一年 response.cookies....
jmeter的http cookies管理器
最新发布
03-16
JMeter的HTTP Cookies管理器是一个组件,用于管理HTTP请求中的Cookie。它可以自动处理服务器发送的Cookie,并在后续请求中发送相应的Cookie。此外,它还可以手动添加、修改和删除Cookie。在测试Web应用程序时,使用HTTP Cookies管理器可以模拟用户在浏览器中使用Cookie的行为。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值