[圖片上傳失敗...(image-b5901d-1536505633922)]
1.Cookie是什么
有了解HTTP協(xié)議的小伙伴,應(yīng)該都知道HTTP是無狀態(tài)協(xié)議绵载,是不記錄狀態(tài)铅歼。換句話說余佃,無論你客戶端向同一個(gè)服務(wù)器發(fā)送多少個(gè)請求鞠呈,服務(wù)器都不知道你是誰玉雾。如果是這樣翔试,那么我們需要登錄,買買買的購物車复旬,就無法實(shí)現(xiàn)啦】衙澹現(xiàn)在就引出我們的Cookie,Cookie就是為了解決這個(gè)問題而生的驹碍。
What is the Cookie?(Web開發(fā)里Cookie的含義)
1.Cookie是瀏覽器訪問服務(wù)器后壁涎,服務(wù)器傳給瀏覽器的一段數(shù)據(jù)
2.瀏覽器需要保存這段數(shù)據(jù)凡恍,不得輕易刪除
3.此后每次瀏覽器訪問該服務(wù)器的時(shí)候,都必須帶上這段數(shù)據(jù)
2.Cookie的作用
Cookie一般有兩個(gè)作用粹庞。
1.用來識(shí)別用戶身份
比如用戶A用瀏覽器訪問了http://a.com咳焚,那么http://a.com的服務(wù)器就會(huì)立刻給A返回一段數(shù)據(jù)[auth:A](這就是Cookie)。當(dāng)A再次訪問http://a.com時(shí)庞溜,就會(huì)帶上這段數(shù)據(jù)革半。
同理,用戶B用瀏覽器訪問了http://a.com流码,那么http://a.com的服務(wù)器就會(huì)立刻給A返回一段數(shù)據(jù)[auth:B]又官。當(dāng)B再次訪問http://a.com時(shí),就會(huì)帶上這段數(shù)據(jù)漫试。
2.記錄歷史
假設(shè)http://a.com是一個(gè)購物網(wǎng)站六敬,當(dāng)A在上線將商品A,商品B放入購物車時(shí)驾荣,JS可以改寫Cookie外构,改為[auth:B;cart=A,B],表示購物車?yán)镉蠥和B這兩樣商品播掷。這樣一來审编,當(dāng)用戶關(guān)閉網(wǎng)頁,過幾天再打開該網(wǎng)頁的時(shí)候歧匈,依然可以看到A,B沉睡在購物上中洒琢,因?yàn)槟钡饲拔恼掠刑岬叫庖#瑸g覽器不得輕易刪除Cookie愕撰。借此,我們就可以達(dá)到記錄用戶操作的目的斟冕。
3.Cookie的使用
1:在服務(wù)器端
Web 服務(wù)器通過發(fā)送一個(gè)稱為 Set-Cookie 的 HTTP 消息頭來創(chuàng)建一個(gè) cookie口糕,Set-Cookie 消息頭是一個(gè)字符串,其格式如下(中括號中的部分是可選的):
Set-Cookie: value[; expires=date][; domain=domain][; path=path][; secure]
value
消息頭的第一部分宫静,value 部分走净,通常是一個(gè) name=value 格式的字符串。事實(shí)上孤里,這種格式是原始規(guī)范中指定的格式伏伯,但是瀏覽器并不會(huì)對 cookie 值按照此格式來驗(yàn)證。實(shí)際上捌袜,你可以指定一個(gè)不含等號的字符串说搅,它同樣會(huì)被存儲(chǔ)。然而虏等,最常用的使用方式是按照 name=value 格式來指定 cookie 的值(大多數(shù)接口只支持該格式)弄唧。
過期時(shí)間選項(xiàng)
過期時(shí)間選項(xiàng)适肠,在set-cookie中,我們可以通過expires或者max-age設(shè)置候引,expires的時(shí)間格式一般遵循Wdy, DD-Mon-YYYY HH:MM:SS GMT 日期格式的值侯养,而max-age是以秒為單位,另外值得注意的是max-age的權(quán)限大于expires澄干。
max-age:指的是在服務(wù)器發(fā)送Cookie給瀏覽器后逛揩,如果Cookie存在時(shí)間超過max-age設(shè)置的時(shí)間,則瀏覽器必須刪除Cookie麸俘,反之辩稽。
expires:指的是在服務(wù)器發(fā)送Cookie給瀏覽器后,如果Cookie存在時(shí)間超過expires設(shè)置的日期从媚,則瀏覽器必須刪除Cookie逞泄,反之。
domain 選項(xiàng)
下一個(gè)選項(xiàng)是 domain拜效,指定了 cookie 將要被發(fā)送至哪個(gè)域中喷众。默認(rèn)情況下,domain 會(huì)被設(shè)置為創(chuàng)建該 cookie 的頁面所在的域名紧憾,所以當(dāng)給相同域名發(fā)送請求時(shí)該 cookie 會(huì)被發(fā)送至服務(wù)器侮腹。例如,本博中 cookie 的默認(rèn)值將是 sheldonyee.com稻励。domain 選項(xiàng)可用來擴(kuò)充 cookie 可發(fā)送域的數(shù)量,例如:
Set-Cookie: name=Sheldon; domain=sheldonyee.com
path 選項(xiàng)
另一個(gè)控制 Cookie 消息頭發(fā)送時(shí)機(jī)的選項(xiàng)是 path 選項(xiàng)愈涩,和 domain 選項(xiàng)類似望抽,path 選項(xiàng)指定了請求的資源 URL 中必須存在指定的路徑時(shí),才會(huì)發(fā)送Cookie 消息頭履婉。這個(gè)比較通常是將 path 選項(xiàng)的值與請求的 URL 從頭開始逐字符比較完成的煤篙。如果字符匹配,則發(fā)送 Cookie 消息頭毁腿,例如:
Set-Cookie:name=Sheldon;path=/blog
secure 選項(xiàng)(沒有使用)
最后一個(gè)選項(xiàng)是 secure辑奈。不像其它選項(xiàng),該選項(xiàng)只是一個(gè)標(biāo)記而沒有值已烤。只有當(dāng)一個(gè)請求通過 SSL 或 HTTPS 創(chuàng)建時(shí)鸠窗,包含 secure 選項(xiàng)的 cookie 才能被發(fā)送至服務(wù)器。這種 cookie 的內(nèi)容具有很高的價(jià)值胯究,如果以純文本形式傳遞很有可能被篡改稍计,例如:
Set-Cookie: name=Sheldon; secure
事實(shí)上,機(jī)密且敏感的信息絕不應(yīng)該在 cookie 中存儲(chǔ)或傳輸裕循,因?yàn)?cookie 的整個(gè)機(jī)制原本都是不安全的臣嚣。默認(rèn)情況下净刮,在 HTTPS 鏈接上傳輸?shù)?cookie 都會(huì)被自動(dòng)添加上 secure 選項(xiàng)。
HttpOnly
這個(gè)選項(xiàng)比較簡單硅则,就是禁止前端用代碼取得Cookie淹父;
沒有設(shè)置HttpOnly
前端:document.cookie = authd=Sheldon
設(shè)置HttpOnly
前端:document.cookie = ''
2.前端的Cookie
在 JavaScript 中通過 document.cookie 屬性,你可以創(chuàng)建怎虫、維護(hù)和刪除 cookie暑认。創(chuàng)建 cookie 時(shí)該屬性等同于 Set-Cookie 消息頭,而在讀取 cookie 時(shí)則等同于 Cookie 消息頭揪垄。在創(chuàng)建一個(gè) cookie 時(shí)穷吮,你需要使用和 Set-Cookie 期望格式相同的字符串:
document.cookie="name=Sheldon;domain=sheldonyee.com;path=/blog";
設(shè)置 document.cookie 屬性的值并不會(huì)刪除存儲(chǔ)在頁面中的所有 cookie。它只簡單的創(chuàng)建或修改字符串中指定的 cookie饥努。下次發(fā)送一個(gè)請求到服務(wù)器時(shí)捡鱼,通過 document.cookie 設(shè)置的 cookie 會(huì)和其它通過 Set-Cookie 消息頭設(shè)置的 cookie 一并發(fā)送至服務(wù)器。這些 cookie 并沒有什么明確的不同之處
總結(jié)
這篇文章簡單闡述了Cookie和Cookie選項(xiàng)的含義酷愧,作為自己的學(xué)習(xí)筆記使用驾诈。
