为什么要禁用Cookie?

最新推荐文章于 2024-08-21 05:45:00 发布
原创 最新推荐文章于 2024-08-21 05:45:00 发布 · 3.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

本文探讨了为何要禁用Cookie及其在Web项目中的使用情况,指出Cookie的安全性和跨域问题是其挑战。同时,文章介绍了Session会话机制,强调了Session在集群和分布式环境下的管理问题。文中通过实际案例展示了在腾讯平台禁用Cookie情况下如何使用token跟踪会话。总结了Cookie和Session的适用环境,并讨论了它们的超时管理和内存占用问题。

思考一:为什么要禁用Cookie?

首先,cookie是服务端生成返回给客户端的,客户端会保存cookie到本地,甚至会永久保存。cookie有跨域(协议、域名、端口其中有一个不同就会产生跨域问题)问题。

 

cookie是和http捆绑在一起的,应该是当时科学家在设计http协议时就定义死了一个叫做cookie的字段用来保存会话信息。

 

既然http协议定义了一个cookie字段用来保存会话信息,那么我们就可以将会话信息保存到cookie里面,并返回给客户端。

 

cookie:加密(用户信息)

 

因为大家都遵循http协议,因此客户端也可以获取到cookie字段,然后客户端会保留cookie到本地(其实这个是客户端开发者决定的,保不保存都可以,但是浏览器都是默认保存的,因此在开发web项目时,要考虑是否应该使用cookie,目前有的浏览器默认禁用cookie)

 

cookie的优缺点:

不管什么技术都有着自身的局限性,我认为cookie没有什么严重的缺点,主要是看你的业务情况,是否适合使用cookie。有的说cookie有安全性问题,会被拦截转发。我觉得不算是cookie的问题,因为数据在网络上传输,肯定会有被拦截的情况。这又是另一个问题。

 

使用环境:

1、web项目还是java项目?

2、单体、集群还是分布式?

 

不管什么使用环境都可以使用cookie,技术都是为了解决业务问题。

 

个人经历:

我司有个项目和腾讯教育合作,有一个功能是嵌入腾讯平台的,因为腾讯禁用了cookie。我们就直接定义一个token放到请求头中,通过这个token来跟踪会话,其实和cookie的原理是一样的。

 

思考二:session会话机制

cookie是将会话信息保存到客户端,session则是将会话信息保存到服务端,返回会将sessionId保存在cookie里面返回给客户端。(如果禁用了cookie,其实也可以参考我上面的方式,单独创建一个请求头来保存,比如token)

 

服务器创建session会保存到内存中,那么在使用session时要注意使用的环境。在集群和分布式下,session是独立的,因此要做session共享。

 

session和cookie都有超时设置。因为session是保存在内存中的,还需要注意内容溢出问题,需要设置session超时,要注意清空过时的session,释放内存。

 

 

 

 

 

 

 

 

 

 

 

如何在nginx中禁用Cookie
猿小白的博客
11-08 610
在 Nginx 中禁用 Cookies 可以通过清除或过滤请求和响应中的 Set-Cookie 头来实现。需要注意的是:禁用 Cookies 后,用户会丢失某些可能依赖 Cookies 的功能,比如登录状态、会话跟踪等。
禁用Cookie后,Session还能用吗?揭秘3种解决方案
java专栏
12-08 846
通过本文的详细介绍,你应该已经明白了为什么禁用Cookie后,Session仍然可以使用。通过URL重写、隐藏表单字段或使用Token + LocalStorage等方法,我们可以在客户端禁用Cookie的情况下,继续保持用户的会话状态。希望这篇文章对你有所帮助!如果有任何问题或建议,欢迎在评论区留言交流!😊✨。
cookie禁用
李昆鹏的博客
07-30 1万+
------------------------------- cookie禁用------------------------------------- Cookie禁用处理 默认情况下浏览器的cookie是被启用的,但是其实我们是可以手动的禁用cookie的,强烈不建议禁用cookie Cookie一旦被禁用掉绝大多数互联网的网站都无法登录,这个跟我们后续要讲解的session有...
为什么浏览器全面禁用三方 Cookie
树上骑个猴的博客
08-30 3730
各大主流浏览器正在逐步禁用 三方Cookie ,之前笔者也在下面这篇文章中分析了全面禁用 三方Cookie 后对我们的网站带来的一些影响: 当浏览器全面禁用三方 Cookie 但是一个公司或组织往往在不同业务下会有多个不同的域名,例如 taobao.com、tianmao.com,所以很多正常的业务场景也许要借助 三方Cookie 来实现(比如 单点登录和 consent管理),直接禁用后可能会给我们的业务带来很大影响,而且之前一直以来都没有很好的解决方案,这也是 Chrome 禁用 三方Cookie 进展
挑战常规 -- 为什么不要再用cookie作为储存?
weixin_30651273的博客
06-18 223
不要使用cookie当存储 Cookie 是什么? Cookie 由浏览器储存在本地,每次访问目标网址会带上的请求头,服务器可以通过Set-Cookie响应头设置CookieCookie的用途 由于http是无状态的,所以需要会话跟踪技术,cookie就是其中的一种的会话跟踪技术。 Cookie的常用属性 Expires 有效时间 Secure 只允许https传输 HttpOnl...
Cookie禁用了,Session还能用吗?原因详解
lxw1844912514的博客
02-20 1072
Cookie与 Session,一般认为是两个独立的东西,Session采用的是在服务器端保持状态的方案,而Cookie采用的是在客户端保持状态的方案。但为什么禁用Cookie就不能得到Session呢?因为Session是用Session ID来确定当前对话所对应的服务器Session,而Session ID是通过Cookie来传递的,禁用Cookie相当于失去了Session ID...
Chrome为什么不用COOKIE
蜗牛Clear的博客
04-25 631
然而,这也引发了用户对隐私的担忧,因为第三方可以借此获取用户的浏览历史和其他敏感信息。此外,Chrome也在不断探索新的技术和方法来改进广告跟踪和用户隐私之间的平衡。例如,Chrome可能采用更先进的隐私保护技术,以确保在收集用户数据的同时最大程度地减少隐私泄露的风险。通过允许用户控制第三方cookie的使用,Chrome试图在提供个性化服务和保护用户隐私之间找到一个平衡点。Chrome仍然使用cookie来提供许多重要的网站功能,但在处理第三方cookie时采取了更加谨慎和尊重用户隐私的态度。
微软Edge浏览器怎么设置禁止禁用Cookie?.docx
09-27
此外,用户也可以根据需要选择性地禁用 Cookie,而不是完全禁用 Cookie。例如,用户可以选择禁用第三方 Cookie,或者禁用某些特定的 Cookie。 在 Microsoft Edge 浏览器中,用户可以通过“Cookie”设置来管理 ...
面试题:session和cookie的区别?客户端禁用cookie, session还能用吗?
ughbnbjkk的博客
06-16 556
数据保存在数据保存在。cookie不是很安全,别人可以分析存放在本地的COOKIE并进行,考虑安全选会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,如果主要考虑到减轻服务器性能方面,应当使用。
javaCookie禁用后Session追踪问题
08-31
JavaCookie禁用后 Session 追踪问题 在 Java Web 开发中,Session 是一个非常重要的概念,它用于存储用户的状态信息。但是,当用户禁用 Cookie 时,Session 的追踪就会出现问题。本文将详细介绍 Java 中 ...
Cookie禁用Cookie安全问题
LLLLLiSHI的博客
06-16 1073
Cookie作为客户端的会话技术,可以实现用户数据传入到服务端。 但Cookie禁用怎么办? 1、首先,提示用户不要禁用Cookie。 2、使用URL重写,原理就是将数据添加到url的参数中 Cookie由于是客户端的会话技术,因此存在着安全问题 1、不解决,因为一些数据就是暴露出去的 2、隐私数据,给cookie数据加密处理 3、增加服务端的判断,比如是否是同一个
不用Cookie的“Cookie”技术
peakerli的专栏
08-22 913
http://lucb1e.com/rp/cookielesscookies/ Cookieless cookies There is another obscure way of tracking users without using cookies or even Javascript. It has already been used by numerous websites
前后端分离架构:为何不推荐使用Cookie-Session机制?
xycxycooo的博客
08-21 1151
在深入探讨之前,我们先简单了解一下前后端分离架构。在这种架构中,前端和后端是独立开发的两个部分,它们通过API进行通信。前端通常是一个单页应用(SPA),使用JavaScript框架(如React、Vue或Angular)开发,而后端则提供RESTful API或GraphQL接口。在传统的Web应用中,Cookie-Session机制是一种常见的身份验证和状态管理方式。客户端发送请求:用户访问一个需要身份验证的页面。服务器生成Session。
如果想让浏览器给我们完成一些事 请不要关闭 Cookie
hanwenjun07的专栏
12-22 1271
<br />    今天花了30分钟找一个错误,结果程序没问题,发现浏览器的Cookie禁用了。你说冤不冤。<br />    原因是这样:在程序里边我使用了session保存获取信息(没有重写url,也没有在请求后边添加sessionId),禁用浏览器中的Cookie后sessionId就不能在获取到。所以在使用session来获取信息时,此时获取的是null啦。<br />    菜鸟被困了。希望不知道的注意下。
Cookie禁用的问题和Cookie的应用
f1244313823的博客
03-17 847
Cookie禁用 提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、session为什么会失效呢?失效了怎么办?二、cookie的应用总结 前言 如果用户禁用cookie,我们在用浏览器(每个浏览器就相当于一个客户端)访问服务器时,就会发生session失效,为什么会失效呢?失效了怎么办?还有JSESSIONID是什么? 一、session为什么会失效呢?失效了怎么办? 首先简单说一下session,它就是客户端和服务器端建立的一次会话。 打开浏览器输入地址栏向服务器
Chrome禁用第三方Cookie,有什么影响?
程序员,AI探索者
01-10 5645
随着互联网技术的发展,我们的生活变得越来越数字化,网上购物、社交、阅读新闻成为日常。而在这个数字化的世界中,Cookie扮演了一个不可或缺的角色。Cookie是一种由浏览器保存在用户电脑上的小块数据,用来帮助网站记住用户的信息和设置。网站可以在前端直接操作Cookie,也可以根据服务器返回的指令设置Cookie,当浏览器请求同一服务器时相应的Cookie会被回传。Cookie让网站能够记住用户的登录状态、购物车中的商品、以及个性化设置等,极大地提升了用户体验。
『网络 』 三种禁用Cookie的方法 让你上网更安全
moonlit1228的专栏
09-21 1163
『网络』三种禁用Cookie的方法 让你上网更安全转自: http://laiba.tianya.cn/laiba/CommMsgs?cmm=959&tid=2718011068369355941<br /> <br />cookie的作用很多人都知道——cookie里面保存着我们所浏览过的网页的记录,假若让别有用心的人看到了这些信息,他们就达到了刺探信息的目的,现在针对cookie的攻击不在少数,这些黑手通过下载网络数据库的方法下载本地计算机上的cookie,包括我们的浏览信息,我们的服务器后台信息,我们
苹果cookie是打开还是关闭_cookie那些事
weixin_39720181的博客
11-20 6541
cookie的诞生HTTP无状态:服务器无法知道两个请求是否来自同一个浏览器,即服务器不知道用户上一次做了什么,每次请求都是完全相互独立交互式Web:客户端与服务器可以互动,如用户登录,购买商品,各种论坛等等Cookie的诞生是为了解决HTTP无状态的特性无法满足交互式webcookie交互原理1、用户在输入用户名和密码之后,浏览器将用户名和密码发送给服务器,服务器进行验证,验证通过之后...
关于禁用Cookie的问题以及解决办法
热门推荐
C.
09-10 3万+
Cookie与 Session,一般认为是两个独立的东西,Session采用的是在服务器端保持状态的方案,而Cookie采用的是在客户端保持状态的方案。但为什么禁用Cookie就不能得到Session呢?因为Session是用Session ID来确定当前对话所对应的服务器Session,而Session ID是通过Cookie来传递的,禁用Cookie相当于失去了Session ID,也就得不到S
什么是Cookie
最新发布
02-22
<think>好的,用户之前问过关于 Flask 中的 db.session.commit() 的作用,现在又问“什么是 Cookie?”。看起来用户可能在开发Web应用,使用Flask框架,涉及数据库操作和Web基础概念。 首先,用户之前的问题是关于数据库操作的提交,现在转向Cookie,可能是在学习Web开发的不同部分,比如会话管理或用户跟踪。需要解释Cookie的基本概念,同时可能关联到他们在Flask中的应用,比如使用Flask设置或读取Cookie。 用户可能是初学者,需要简明扼要的解释,避免过于技术化的术语,但也要准确。要确保覆盖Cookie的定义、作用、结构以及安全性相关的点,比如HttpOnly和Secure标志,SameSite属性,这些对于开发中的实际应用很重要。 另外,用户可能想知道Cookie在现实中的例子,比如登录状态、购物车,这样他们可以更好地理解其用途。同时,考虑到隐私问题,简要提及相关法规如GDPR,帮助用户意识到在实际开发中需要注意合规性。 需要检查是否有Flask中操作Cookie的具体方法,但用户的问题比较基础,可能不需要深入框架细节,但可以稍微提到,比如在Flask中设置Cookie的方法,作为扩展信息,但主要回答应集中在Cookie本身。 确保回答结构清晰,分点列出,便于阅读。可能用户需要将Cookie的知识应用到当前项目中,所以实际应用场景的例子会很有帮助。同时,提醒安全性问题,避免常见漏洞,如跨站脚本攻击,这也是开发中需要注意的地方。</think>**Cookie 是网站存储在用户浏览器中的小型文本数据**,用于记录用户身份、状态或行为信息。当用户访问网站时,服务器可以通过 Cookie 识别用户身份或恢复会话状态,从而实现个性化服务。 --- ### **Cookie 的核心作用** 1. **会话管理** - 例如保持用户登录状态(如登录后无需重复输入账号密码)。 - 存储购物车内容、页面偏好设置等。 2. **用户行为追踪** - 记录用户的浏览历史、点击习惯,用于数据分析或广告定向。 3. **跨请求状态维护** - HTTP 协议本身是无状态的,Cookie 帮助服务器关联多次请求(如同一用户的连续操作)。 --- ### **Cookie 的结构** 一个 Cookie 通常包含以下信息(通过 HTTP 响应头的 `Set-Cookie` 字段设置): ```http Set-Cookie: user_id=abc123; Expires=Wed, 21 Oct 2025 07:28:00 GMT; Path=/; Secure; HttpOnly; SameSite=Lax ``` - **名称与值**:键值对(如 `user_id=abc123`)。 - **有效期**:`Expires` 或 `Max-Age` 定义 Cookie 的过期时间。 - **作用路径**:`Path` 指定 Cookie 生效的 URL 路径。 - **安全属性**: - `Secure`:仅通过 HTTPS 传输。 - `HttpOnly`:禁止 JavaScript 读取(防 XSS 攻击)。 - `SameSite`:限制跨站请求携带 Cookie(防 CSRF 攻击)。 --- ### **实际应用示例** - **登录状态**:用户登录后,服务器返回包含会话 ID 的 Cookie,后续请求自动附带此 ID。 - **个性化主题**:存储用户选择的网站主题颜色或语言偏好。 - **广告追踪**:跨网站跟踪用户行为,推送相关广告(如 Google Ads)。 --- ### **隐私与安全性** - **隐私争议**:第三方 Cookie 常被用于跨站追踪,引发隐私担忧。部分浏览器(如 Safari、Firefox)已默认禁用第三方 Cookie。 - **法规合规**:需遵循 GDPR(欧盟)、CCPA(美国)等法规,明确告知用户 Cookie 用途并提供禁用选项。 --- ### **开发中的注意事项** 1. **敏感信息**:避免在 Cookie 中直接存储密码等敏感数据。 2. **加密与签名**:对重要 Cookie 内容加密或签名,防止篡改。 3. **合理时效**:根据需求设置合适的过期时间(如会话 Cookie 在关闭浏览器后失效)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值