1. Cookie概述
HTTP cookie(網(wǎng)絡(luò)cookie,瀏覽器cookie)是服務(wù)器發(fā)送給用戶網(wǎng)絡(luò)瀏覽器的一小部分?jǐn)?shù)據(jù)褂傀。 瀏覽器可以存儲(chǔ)它忍啤,并將下一個(gè)請(qǐng)求發(fā)回給同一臺(tái)服務(wù)器。 通常仙辟,它用于判斷兩個(gè)請(qǐng)求是否來(lái)自同一瀏覽器 - 例如同波,保持用戶登錄。 它記住無(wú)狀態(tài)HTTP協(xié)議的有狀態(tài)信息叠国。
Cookie的用途:
- 回話管理
記錄登錄未檩,購(gòu)物車,游戲分?jǐn)?shù)或服務(wù)器應(yīng)記住的任何其他內(nèi)容 - 個(gè)性化
用戶偏好粟焊,主題和其他設(shè)置 - 追蹤
記錄和分析用戶行為
2. 如何創(chuàng)建Cookie
當(dāng)收到一個(gè)HTTP請(qǐng)求時(shí)冤狡,服務(wù)器可以發(fā)送帶響應(yīng)的Set-Cookie頭孙蒙。 Cookie通常由瀏覽器存儲(chǔ),然后將cookie發(fā)送到Cookie HTTP標(biāo)頭中的同一服務(wù)器悲雳。 可以指定到期日期或持續(xù)時(shí)間挎峦,之后不再發(fā)送cookie。 此外合瓢,可以設(shè)置對(duì)特定域和路徑的限制浑测,限制cookie的發(fā)送位置。
Set-Cookie HTTP響應(yīng)頭將來(lái)自服務(wù)器的cookie發(fā)送給用戶代理歪玲。 一個(gè)簡(jiǎn)單的cookie就像下面這樣設(shè)置:
完整的響應(yīng)頭如下
設(shè)置Cookie后,每次請(qǐng)求都會(huì)帶上設(shè)置的Cookie,請(qǐng)求如下:
3. 會(huì)話Cookie和持久性Cookie
- 沒有設(shè)置
Expires或者Max-Age,當(dāng)Client關(guān)閉后,Cookie也會(huì)消失,不會(huì)持久化. - 當(dāng)我們?cè)O(shè)置
Expires或者Max-Age后,就會(huì)被持久化到客戶端文件中.通常設(shè)置如下
4. Cookie的訪問(wèn)控制
安全Cookie只能通過(guò)HTTPS協(xié)議通過(guò)加密請(qǐng)求發(fā)送到服務(wù)器迁央。 即使在安全的情況下,敏感信息也不應(yīng)該存儲(chǔ)在cookie中滥崩,因?yàn)樗鼈儽旧砭筒话踩Γ⑶以摌?biāo)志不能提供真正的保護(hù)。 從Chrome 52和Firefox 52開始钙皮,不安全的網(wǎng)站(http:)無(wú)法使用Secure指令設(shè)置Cookie蜂科。
為了避免被XSS攻擊,我們可以通過(guò)設(shè)置HttpOnly 頭來(lái)減輕這種攻擊,HttpOnly表明不能通過(guò)JavaScript 的Document.cookie API來(lái)獲取Cookie,而僅僅的發(fā)送給服務(wù)器.通常設(shè)置如下
控制Cookie的訪問(wèn)范圍通過(guò)Domain和Path來(lái)控制
Domain=mozilla.org 即表明*.mozilla.org可以訪問(wèn)CookiePath=/docs即表明只能訪問(wèn)/docs/*
5. Cookie的安全性
Cookie通常用于Web應(yīng)用程序中以識(shí)別用戶及其已驗(yàn)證的會(huì)話,因此竊取cookie可能會(huì)導(dǎo)致劫持經(jīng)過(guò)驗(yàn)證的用戶會(huì)話短条。竊取cookie的常見方式包括社交工程或利用應(yīng)用程序中的XSS漏洞导匣。
當(dāng)其他用戶打開帶有這個(gè)腳本的頁(yè)面,就會(huì)運(yùn)行這段程序茸时,造成問(wèn)題贡定。
可以采用如下方式解決:
-
HttpOnly來(lái)禁止使用js獲取到Cookie. - 對(duì)用戶的一些比較重要的操作進(jìn)行驗(yàn)證
- 對(duì)輸入進(jìn)行驗(yàn)證,把用戶的輸入都文本化
另外一種常見的攻擊就是CSRF(跨站域請(qǐng)求偽造)
試想下這樣一種場(chǎng)景可都,當(dāng)你登陸某個(gè)銀行的網(wǎng)站之后缓待,然后有個(gè)黑客放了個(gè)釣魚地址,把你誘導(dǎo)到一個(gè)新的地址渠牲,接下來(lái)旋炒,頁(yè)面就會(huì)發(fā)送下面這個(gè)請(qǐng)求,把你的錢轉(zhuǎn)走了签杈。
防止CSRF的手段有如下幾種
- 和XSS一樣瘫镇,對(duì)輸入進(jìn)行過(guò)濾
- 對(duì)于用戶的重要行為一定要進(jìn)行驗(yàn)證
- 盡量對(duì)重要的cookie信息縮短Cookie的生存時(shí)間
6. Session
Session是在服務(wù)端保存的一個(gè)數(shù)據(jù)結(jié)構(gòu),用來(lái)跟蹤用戶的狀態(tài)答姥,這個(gè)數(shù)據(jù)可以保存在集群铣除、數(shù)據(jù)庫(kù)、文件中踢涌;通常借助 cookie 本身和后端存儲(chǔ)實(shí)現(xiàn)的通孽,一種更高級(jí)的會(huì)話狀態(tài)實(shí)現(xiàn)。session 的運(yùn)行依賴 session id睁壁,而 session id 是存在 cookie 中的背苦,也就是說(shuō)互捌,如果瀏覽器禁用了 cookie ,同時(shí) session 也會(huì)失效(但是可以通過(guò)其它方式實(shí)現(xiàn)行剂,比如在 url 中傳遞 session_id)
服務(wù)器會(huì)為每一個(gè)訪問(wèn)服務(wù)器的用戶創(chuàng)建一個(gè)session對(duì)象秕噪,并且把session對(duì)象的id保存在本地cookie上,只要用戶再次訪問(wèn)服務(wù)器時(shí)厚宰,帶著session的id腌巾,服務(wù)器就會(huì)匹配用戶在服務(wù)器上的session,根據(jù)session中的數(shù)據(jù)铲觉,還原用戶上次的瀏覽狀態(tài)或提供其他人性化服務(wù)澈蝙。
通常來(lái)說(shuō),Session是一種更安全的方式撵幽,把信息保存時(shí)服務(wù)器端灯荧。但是它會(huì)占用服務(wù)器的內(nèi)存,Session的信息一多盐杂,就會(huì)對(duì)服務(wù)器造成壓力逗载。
Session的生命周期是服務(wù)端設(shè)置的時(shí)間長(zhǎng)短,一段時(shí)間沒有active链烈,就會(huì)失效厉斟。
