Cookies

abean
77 阅读1分钟

Cookies

  • 前端数据存储
  • 后端通过http header设置
  • 请求时通过http头传给后端
  • 前端也可读写
  • 遵守同源策略

Cookies的特性

  • 域名:只能使用自己域名下的cookies
  • 有效期
  • 路径:cookies可以作用于网站的某一级(url层级),某一层级的url被访问的时候,对应的cookies才能被使用
  • http-only:cookies只能被http协议使用
  • secure:只有在使用https协议的网站才能使用cookis

Cookies作用

  • 存储个性化设置
  • 存储未登录时用户唯一标识
  • 存储已经登陆的用户凭证
  • 存储其他业务数据

Cookies和XSS的关系:

  • XSS可能偷取cookies(http-noly的cookies不会被偷)

Cookies和CSRF的关系:

  • CSRF利用了用户的cookies
  • 攻击站点无法读写cookies
  • 最好禁止第三方使用cookies

Cookies安全策略

  • 加签名防止篡改
  • 私有变换(加密)
  • http-noly(防止XSS:防止js读取cookies,只有http请求才能读)
  • 只在https下使用
  • same-site(防止CSRF攻击)
avatar
文章
阅读
粉丝