鉴权(1)Cookie整理总结 | 青训营笔记

tbghg
109 阅读5分钟

这是我参与「第三届青训营 -后端场」笔记创作活动的的第2篇笔记

介绍

Http协议是一个无状态的协议,因此需要一个标识用来让服务器区分不同的浏览器,cookie便出现了。

cookie原理:浏览器第一次向服务器发送请求时,服务器可以通过在response头部设置Set-Cookie字段,浏览器收到响应就会设置cookie并存储,在下一次该浏览器向服务器发送请求时,就会在request头部自动带上Cookie字段,服务器端收到该cookie用以区分不同的浏览器。同时服务端将cookie与不同用户对应起来存储到服务端,通常情况下会存储在session中。

基础知识

  • 大小限制。每个cookie所存放的数据不能超过4k,如果cookie字符串长度超过4k,则该属性将返回空字符串。
  • 存储形式。cookie是以文件形式存放在客户端计算机中,查看与修改cookie都是很方便的,因此cookie中不能存放重要信息
  • 有效期。cookie是存在有效期的。默认情况下,一个cookie的生命周期就是在关闭浏览器的时候结束。如果想要cookie能在浏览器关掉之后还可以使用,就必须要为cookie设置有效期,也就是cookie的失效日期。
  • 数据类型。cookie是以字符串进行存储的。可以通过alert(typeof document.cookie)进行验证
  • 域和路径。cookie有域和路径这个概念,域就是domain的概念,因为浏览器是个注意安全的环境,所以不同的域之间是不能互相访问cookie的(当然可以通过特殊设置达到cookie跨域访问)。路径就是routing的概念,一个网页所创建的cookie只能被这个网页在同一目录或者子目录下的所有页面访问,而不能被其他目录下的网页访问。后面会对路径和域进行详细介绍
  • 创建。创建cookie的方式和定义变量的方式有些相似,都需要使用cookie名称和cookie值。同个网站可以创建多个cookie,而多个cookie可以存放在同一个cookie文件中。当然不同浏览器都有着cookie数量、大小的上限

常见问题

  • cookie存在两种类型

    • 你浏览的当前网站本身设置的cookie
    • 来自在网页上嵌入广告或图片等其他域来源的,第三方cookie(网页可通过使用这些cookie跟踪你的使用信息)

  • cookie的生命周期,大致也两种状态:

    • 临时性质的cookie。当前使用的过程中网站会存储一些你的个人信息,当浏览器关闭后这些信息也会从计算机中删除
    • 设置失效时间的cookie。就算浏览器关闭了,这些信息依然会在计算机中,如登录名和密码,这样无须每次都到特定站点时都进行登录,这种cookie可以在计算机中保留几天,几个月,甚至几年

  • cookie的两种清除方式 删除cookie有时候可能导致某些网页无法正常运行

    1. 通过浏览器工具清除cookie(有第三方工具,浏览器自身也有这种功能)
    2. 通过设置cookie的有效期来清除cookie

  • 浏览器可以通过设置来接收和拒绝访问cookie

  • 出于功能和性能的原因考虑,建议尽量减少cookie的使用数量,并且尽量使用小cookie

路径概念

cookie有域和路径的概念,现在介绍路径在cookie中作用。 cookie一般都是由于用户访问页面而被创建的,可是并不是只有在创建cookie的页面才可以访问这个cookie。 默认情况下只有与创建cookie的页面在同一个目录或子目录的网页才可以访问

http://www.cnblog.com/Darren_code/ 这里接收cookie
http://www.cnblog.com/Darren_code/archive/cookie.html 可以拿到上面的cookie
http://www.cnblog.com/xxx/ 就拿不到cookie,http://www.cnblog.com也拿不到

那么如何让这个cookie能被其他目录或者父级目录访问,通过设置cookie的路径就可以实现,如:

document.cookie = "name=value;path=path";
document.cookie = "name=value;expires=date;path=path"

path就是cookie的路径,最常用的就是让cookie在根目录下,这样不管是哪个子页面创建的cookie,所有的页面都可以访问了;

document.cookie = "name=yulong;path=/"

域概念

路径只能解决在同一个域下访问cookie的问题,接着来看域

cookie是不能跨域访问的,但是在二级域名是可以共享cookie的

document.cookie = "name=yulong;path=path;domain=domain"

如果我们有a:www.qq.com 与 b:sports.qq.com 公共一个关联域名qq.com 想让b下的cookie被a访问,我们就需要用到cookie的domain属性,并且把path设置成更目录”/“

document.cookie = "name=yulong;path=/;domain=qq.com"

一定是同域之间的访问,不能把domain的值设置成非主域的域名。

安全性

通常cookie信息都是使用http连接传递数据,这种传递方式很容易被查看,所以cookie存储的信息容易被窃取。假如cookie中所传递的内容比较重要,那么就要求使用加密的数据传输。 所以cookie的这个属性的名称是secure,默认值为空,如果一个cookie的属性为secure,那么它与服务器之间的就通过https或者其他安全协议传递数据

document.cookie = 'username=yulong;secure'

把cookie设置为secure,只是cookie与服务器之间的数据传输过程加密,而保存在本地的cookie文件并不加密。如想让本地cookie加密,要自己加密。

编码细节

在输入cookie信息时,不能包含空格,分号,逗号等特殊符号,而在一般情况下,cookie信息的存储都是采用未编码的方式。所以在设置cookie信息之前,要先使用escape()函数将cookie信息进行编码,在获取得到cookie值的时候,再使用unescape()函数把值进行转换回来,

document.cookie = name = "=" + escape(value)
return unescape(docment.cookie.substring(start,end))

这样就不用担心因为cookie值出现了特殊符号而导致cookie信息报错了。

参考文章

浅析cookie

前端鉴权(Cookie/Session、Token和OAuth)

avatar
文章
阅读
粉丝