為什么要用Cookie
瀏覽器與WEB服務(wù)器之間是使用HTTP協(xié)議進(jìn)行通訊的奶赔,而HTTP協(xié)議本身是無狀態(tài)的终吼。什么是無狀態(tài)呢烛愧,即服務(wù)器無法判斷瀏覽器身份酪惭,即無論瀏覽器是否已經(jīng)訪問過希痴,服務(wù)器都會當(dāng)成第一次來對待。這時(shí)就需要一個(gè)能保存訪問狀態(tài)的信息春感,去告訴服務(wù)器我已經(jīng)訪問過你了砌创。而這個(gè)信息就可以使用Cookie來保存。
什么是Cookie
Cookie實(shí)際上是一小段的文本信息(key-value格式)鲫懒。瀏覽器向服務(wù)器發(fā)起請求嫩实,如果服務(wù)器需要記錄該狀態(tài),服務(wù)器就會向?yàn)g覽器頒發(fā)一個(gè)Cookie刀疙。瀏覽器會把Cookie保存起來舶赔。當(dāng)瀏覽器再請求該服務(wù)器時(shí),瀏覽器把請求的網(wǎng)址連同該Cookie一同提交給服務(wù)器谦秧。服務(wù)器檢查該Cookie,以此來辨認(rèn)瀏覽器狀態(tài)撵溃。
Cookie可以做什么
? ? 1.可以用來保存用戶使用瀏覽器訪問網(wǎng)站的狀態(tài)和用戶信息疚鲤。
? ? 2.可以告訴在線廣告商廣告被點(diǎn)擊的次數(shù),以便更精確的投放廣告缘挑。
? ? 3.可以幫助網(wǎng)站統(tǒng)計(jì)用戶使用習(xí)慣集歇,以實(shí)現(xiàn)各種各樣的個(gè)性化服務(wù)。
等等语淘,Cookie能做的事情有很多诲宇。但作為開發(fā)者最好能夠合理規(guī)范的使用它,不然對網(wǎng)站本身也會存在不少的缺陷惶翻。如:不要用Cookie存儲用戶的個(gè)人資料信息或賬號密碼姑蓝,這容易泄露被有心人干壞事
Cookie的通訊過程
Cookie在通訊中會經(jīng)歷4個(gè)過程:
????1.瀏覽器發(fā)送請求
????2.服務(wù)端接收請求,并返回響應(yīng)吕粗,在報(bào)文頭中包含set-cookie的字段
????3.瀏覽器接收響應(yīng)后將Cookie存儲纺荧,并在之后的請求中都會帶上cookie的信息。
? ? 4.服務(wù)端接收請求,并返回響應(yīng)宙暇。
Cookie屬性
Cookie的屬性有:key/value输枯、Expires、Domain占贫、path桃熄、Secure、HttpOnly
????Key/value:鍵值對型奥,cookie按照鍵值對的模式存儲信息
? ? Expires:過期時(shí)間蜻拨,設(shè)置某個(gè)時(shí)間后,cookie會失效
????Domain:指定Cookie的域名作用域
????Path:Cookie生成的路徑
????Secure:只有在HTTPS模式下桩引,服務(wù)端才會響應(yīng)cookie信息
????HttpOnly:設(shè)為true后缎讼,只能通過http訪問,不能通過document.cookie獲取設(shè)定為httponly的鍵值,防止xss讀取cookie
Cookie的實(shí)現(xiàn)
服務(wù)端JAVA實(shí)現(xiàn)
public static writeCookie(HttpServletResponse response) {? ? ?
????Cookie cookie = new Cookie(“temp”, “temp”);
? ? cookie.setPath("/");?
? ? cookie.setMaxAge(60);
? ? response.addCookie(cookie);
}
注意:
? ? 1.設(shè)置Cookie的Expires坑匠。其中maxAge表示該屬性血崭,單位為秒。
????當(dāng)maxAge >0,Cookie將在maxAge秒后自動(dòng)失效厘灼;
????當(dāng)maxAge =0,Cookie將立刻刪除Cookie夹纫。
????當(dāng)maxAge =-1,Cookie的時(shí)間過期,cookie依然存在在瀏覽器上设凹,將存在一段時(shí)間或重啟瀏覽器自動(dòng)消失舰讹。
? ? 2.HttpServletResponse提供的Cookie操作只有一個(gè)addCookie,如果要修改Cookie只能用一個(gè)同名的Cookie進(jìn)行覆蓋闪朱。
? ? 3.客戶端發(fā)送的cookie時(shí)月匣,只會提交name和value屬性,其他屬性是不可讀的奋姿。也不會被提交锄开。即服務(wù)端無法判斷Cookie是否過期,獲取域名信息等称诗。如在服務(wù)端通過cookie.getMaxAge()獲取過期時(shí)間萍悴,讀取的是一個(gè)只讀屬性,值永遠(yuǎn)為-1寓免。
其他實(shí)現(xiàn)
一些擴(kuò)展
限制性:cookie存儲大小一般為4kb癣诱,存儲個(gè)數(shù)一般20-53個(gè),視瀏覽器的不同袜香。
安全性:信息被存在 Cookie 中時(shí)撕予,需要明白 cookie 的值時(shí)可以被訪問,且可以被終端用戶所修改的困鸥。當(dāng)機(jī)器處于不安全環(huán)境時(shí)嗅蔬,切記不能通過 HTTP Cookie 存儲剑按、傳輸敏感信息。
參考資料:
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Cookies?HTTP cookies
https://tools.ietf.org/html/rfc6265?HTTP協(xié)議Cookie標(biāo)準(zhǔn)