Cookie由谁设置、怎么设置、有什么内容?

理解HTTP Cookie:工作原理、优缺点与安全设置
最新推荐文章于 2025-02-25 00:16:42 发布
转载 最新推荐文章于 2025-02-25 00:16:42 发布 · 613 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:https://blog.youkuaiyun.com/zhoucheng05_13/article/details/80530681
文章标签:

#cookie

HTTP Cookie是服务器存储在用户浏览器上的小数据片段,用于在用户与网站交互时保持状态。Cookie包含用户ID、密码、浏览历史等信息,允许网站提供个性化体验,如自动登录。然而,它们也存在安全风险,如被误删除或被用于Cookies欺骗。HttpOnly属性可以防止JavaScript访问特定Cookie,提高安全性。设置Cookie过期时间可通过setMaxAge方法,例如设置1小时后过期。

cookies是一种WEB服务器通过浏览器在访问者的硬盘上存储信息的手段。IE浏览器把Cookie信息保存在类似于C://windows//cookies的目录下。Cookie是保存在客户端的多组记录,在客户端以文件的形式存在。在与服务通信时,Cookie中通常会被要求保存会话的Session ID等信息,以用于识别客户端。服务器通过response响应头的set-Cookie字段来让客户端在本地Cookie中记录信息,下面是一个示例:

[HTTP/1.1 200 OK]
Server:[bfe/1.0.8.18]
Etag:["58860415-98b"]
Cache-Control:[private, no-cache, no-store, proxy-revalidate, no-transform]
Connection:[Keep-Alive]
Set-Cookie:[BDORZ=27315; max-age=86400; domain=.baidu.com; path=/]
Pragma:[no-cache]
Last-Modified:[Mon, 23 Jan 2017 13:24:37 GMT]
Content-Length:[2443]
Date:[Mon, 09 Apr 2018 09:59:06 GMT]
Content-Type:[text/html]

Cookie包含什么信息?
它可以记录你的用户ID、密码、浏览过的网页、停留的时间等信息。当你再次来到该网站时,网站通过读取Cookies,得知你的相关信息,就可以做出相应的动作,如在页面显示欢迎你的标语,或者让你不用输入ID、密码就直接登录等等。**一个网站只能读取它自己放置的信息,不能读取其他网站的Cookie文件。**因此,Cookie文件还保存了host属性,即网站的域名或ip。
这些属性以名值对的方式进行保存,为了安全,它的内容大多进行了加密处理。Cookie文件的命名格式是:用户名@网站地址[数字].txt

Cookie的优点:

  • 给用户更人性化的使用体验,如记住“密码功能”、老用户登录欢迎语
  • 弥补了HTTP无连接特性
  • 站点统计访问人数的一个依据
  • Cookie能使站点跟踪特定访问者的访问次数、最后访问时间和访问者进入站点的路径
  • Cookie能告诉在线广告商广告被点击的次数,从而可以更精确的投放广告

Cookie的缺点:

  • 它无法解决多人共用一台电脑的问题,带来了不安全因素
  • Cookie文件容易被误删除
  • Cookies欺骗。修改host文件,可以非法访问目标站点的Cookie

怎样指定当前cookie不能通过js脚本获取

所谓" 不能通过js脚本获取 " 主要指的是: 使用document.cookie / XMLHttpRequest对象 / Request API 等无法获取到当前cookie. 设置方法为: HttpOnly. 没错, 这是一个没有值的属性, 只要在 Set-Cookie里面附带了这个属性, 那么这个cookie就不能被js脚本所获取.
利用HttpResponse的addHeader方法,设置Set-Cookie的值
cookie字符串的格式:

key=value; Expires=date; Path=path; Domain=domain; Secure; HttpOnly

//设置cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");

//设置多个cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");

//设置https的cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");

cookie过期时间设置方式:

cookie.setMaxAge(0);//不记录cookie

cookie.setMaxAge(-1);//会话级cookie,关闭浏览器失效

cookie.setMaxAge(60*60);//过期时间为1小时

js设置cookie过期时间

var name = 'one_name';
var value = '123';
var exp = new Date();
exp.setTime(exp.getTime() + 60 * 2000);//过期时间 2分钟
document.cookie = name + "=" + escape(value) + ";expires=" + exp.toGMTString();
console.log(name + "=" + escape(value) + ";expires=" + exp.toGMTString());
什么是Cookie?怎样设置和读取Cookie
CZ-001的博客
09-15 1945
Cookie,有时也用其复数形式Cookies,指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)。 Cookie最早是网景公司的前雇员Lou Montulli在1993年3月的发明。Cookie是由服务器端生成,发送给User-Agent(一般是浏览器),浏览器会将Cookie的key/value保存到某个目录下的文本文件内,下次请求同一网站时就发送该Cookie给服务器(前提是浏览器设置为启用cookie)。Cookie名称和值可以由服务器端开发自己定义,这样
cookie是什么?有什么用?cookie详解,一篇文章彻底搞懂cookie
IT小郭的技术博客
07-25 2万+
Cookie就是一些数据,用于存储服务器返回给客服端的信息,客户端进行保存。在下一次访问该网站时,客户端会将保存的cookie一同发给服务器,服务器再利用cookie进行一些操作。利用cookie我们就可以实现自动登录,保存游览历史,身份验证等功能。...
cookie
顺其自然~专栏
02-08 477
Cookie(储存在用户本地终端上的数据),有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。 简介 Cookie 并不是它的原意“甜饼”的意思, 而是一个保存在客户机中的简单的文本文件, 这个文件与特定的Web文档关联在一起, 保存了该客户机访问这个Web 文档时的信息, 当客户机再次访问这个 Web 文档时这些信息可供该文档使用。由于“Cookie..
cookie
yesman317的专栏
10-29 323
UIwebview 需要自己种植cookie 含域。  
Cookie的使用方法
码农
12-10 1715
1.设置Cookie的存在期限: Cookie可以保持登录信息到用户下次与服务器会话,换句话说,下次访问同一网站时,用户会发现不必输出用户名和密码就已经登录了。 Cookie在生成时就会被指定一个Expire值,这就是Cookie的生存周期,在这个生存周期内,Cookie有效,超出周期Cookie就会被清除(将Cookie的生存周期设置为0或负值)。 设置Cookie生存周期的方法是setM
cookie是什么?
m0_56175409的博客
09-07 794
cookie是由服务器端生成,发送给User-Agent(一般指浏览器),浏览器将cookie以键值对的形式保存到某个目录下的文本文件内。下次请求该网站时就把cookie发送回服务器。(cookie就是一个小文件,浏览器对其大小一般限制在4k,用来记录一些信息(一般用作标识) 1.1 Cookie机制 在程序中,会话跟踪是很重要的事情。理论上,一个用户的所有请求操作都应该属于同一个会话,而另一个用户的所有请求操作则应该属于另一个会话,二者不能混淆。例如,用户A在超市购买的任何商品都应该放在A的购物车内,不.
JS设置cookie、读取cookie、删除cookie
10-24
如果需要为Cookie设置一个自定义的过期时间,可以定义额外的函数来处理时间的计算。例如,可以创建一个`setsec`函数来将时间字符串转换为对应的毫秒数,并使用这个函数来设置Cookie的有效期。 ```javascript ...
WordPress插件和主题编写时cookie应如何设置
09-29
根据描述和标签,本文将详细讲解在WordPress环境中正确设置cookie的方法以及一些注意事项。 首先,我们需要理解`setcookie()`函数的工作原理。它必须在任何HTML输出之前调用,包括空格、换行符甚至BOM(字节顺序...
$_COOKIE 超全局变量是否可以设置cooke?使用场景是什么?底层原理是什么?
长风破浪会有时的博客
02-25 840
_COOKIE是 PHP 中的一个超全局变量,用于读取客户端发送的 Cookie 数据。然而,它本身并不能直接用来设置 Cookie
HTTPS 之 请求头缺少HTTPOnly和Secure属性解决方案
enjoy.day
02-09 3738
HTTPS 之 请求头缺少HTTPOnly和Secure属性解决方案
Cookie 详解
07-14 1万+
一文带你详解Cookie
操作cookie及获取cookie内容
weixin_46409887的博客
04-04 1719
JavaScript代码: <script> //查找cookie 控制台点击application:cookie历史记录 console.log(document.cookie);//name=张三//控制台获取查找cookie //设置cookie 以键值对存在 document.cookie="name=张三"; console.log(...
Cookie
qq_50794782的博客
03-29 2177
Cookie:客户端对象 1)什么是Cookie Cookie是Web服务器保存在用户硬盘上的一段文本。Cookie允许一个Web站点在用户电脑上保存信息并且随后再取回它。 举例来说,一个Web站点可能会为每一个访问者产生一个唯一的ID,然后以Cookie文件的形式保存在每个用户的机器上。 如果用户使用IE浏览器访问Web,那么用户就会看到所有保存在自己硬盘上的Cookie。它们最常存放的地方是C:\Windows\Cookies。Cookie是以"关键字key=值value"的格式来保存记录的。.
Cookie中的httponly的属性和作用
热门推荐
欢迎
09-10 5万+
原文转载自:https://blog.youkuaiyun.com/qq_38553333/article/details/80055521   1.什么是HttpOnly? 如果cookie设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全...
response如何添加httpOnly级别的cookie
fsp88927的专栏
04-23 3827
非httpOnly:Cookie cookie = new Cookie(name, value);cookie.setMaxAge(maxAge);cookie.setPath(path);cookie.setDomain(domain);cookie.setSecure(secure);response.addCookie(cookie);httpOnly:(把cookie拼接为字符串,然后写...
setcookie的httponly属性
专注于性能调优、安全、自动化
04-30 1万+
setcookie函数原型:http://cn2.php.net/setcookie setcookie的httponly属性如果设为true的话,会增加对xss防护的安全系数。它有以下特点:      1、setcookie()的第七个参数    2、设为true后,只能通过http访问,javascript无法访问    3、防止xss读取cookie    4、php5.2以上
Cookie、Session、Token、JWT
weixin_44121529的博客
03-30 1643
五、Cookies、Session、Token 早起互联网世界只有文字的获取,HTTP本身是无状态协议 HTTP协议: 1、发送一个登录请求,返回登录成功 2、发送一个查询信息请求,返回“请重新登录” HTTP协议的请求之间,没有联系,无记忆,相互独立,但是实际生产中,我们需要请求之间相互联系,有身份校验、流程关联等 Cookies Cookie的产生 1、cookie是由服务器产生,当浏览器第一次访问服务器,且服务器有httpSession方法,服务器此时并不知道他的身份,所以就会创建一个独特的身份标识
cookie的基本概念
qq_45448359的博客
03-04 740
一个不大不小的问题 假设服务器有一个接口,通过请求这个接口,可以添加一个管理员 但是,不是任何人都有权力做这种操作的 那么服务器如何知道请求接口的人是有权力的呢? 答案是:只有登录过的管理员才能做这种操作 可问题是,客户端和服务器的传输使用的是http协议,http协议是无状态的,什么叫无状态,就是服务器不知道这一次请求的人,跟之前登录请求成功的人是不是同一个人 由于http协议的无状态,服务器忘记了之前的所有请求,它无法确定这一次请求的客户端,就是之前登录成功的那个客户端。 你可以把服务器想象成有着
请求发送失败和cookie设置有关系?
最新发布
06-02
<think>好的,我现在需要解决用户关于RestTemplate请求失败的问题,特别是Cookie设置、超时配置以及连接问题。首先,用户提到之前配置了连接和读取超时,但可能还有其他因素导致失败。结合用户提供的引用内容,特别是引用[4]中提到的Cookie设置问题,我需要分析RestTemplate在请求时如何处理Cookie,以及配置是否正确。首先,用户的问题可能涉及两个方面:一是RestTemplate本身的配置,如超时时间是否足够,是否使用了合适的ClientHttpRequestFactory;二是请求过程中Cookie的管理是否正确,比如在跨服务调用时是否正确携带了认证信息。根据引用[1]和[2],RestTemplate的ClientHttpRequestFactory有不同的实现,比如HttpURLConnection和HttpClient。用户之前使用的是SimpleClientHttpRequestFactory,这基于HttpURLConnection,可能不支持连接池等高级功能,导致在高并发下连接池不足。而切换到HttpComponentsClientHttpRequestFactory(即Apache HttpClient)可以更好地管理连接,配置连接池参数,这可能解决连接超时的问题。 关于Cookie的问题,RestTemplate默认不会自动保存和携带Cookie,需要配置Cookie管理器。引用[3]提到ClientHttpRequestInterceptor,可以用于拦截请求并处理Cookie。用户可能在模拟登录Grafana时,未能正确保存获取到的grafana_session到后续请求的Cookie中,导致302重定向后认证失败。需要检查是否在RestTemplate中配置了Cookie存储,比如使用HttpClient的CookieStore。 另外,引用[4]中的问题显示,设置Cookie后仍跳转至登录页面,可能因为Cookie未正确传递或服务端未正确接受。需要确保在RestTemplate的请求头中正确设置Cookie,并且处理了重定向。RestTemplate默认会自动处理重定向,但有时可能需要自定义重定向策略,或者手动处理响应中的Location头。超时配置方面,用户已经设置了连接和读取超时,但若实际网络延迟或服务响应时间超过这些设置,仍会触发超时异常。需要根据实际情况调整超时时间,或者检查是否有网络问题导致连接失败。 总结下来,可能的解决方案包括:更换ClientHttpRequestFactory为Apache HttpClient实现,配置连接池和超时参数;添加Cookie管理,确保请求携带正确的认证信息;检查并处理重定向逻辑,确保Cookie正确传递;调整超时时间以适应实际网络环境。</think>### RestTemplate 请求失败综合解决方案(Cookie/超时/连接问题) #### 一、Cookie设置问题分析 1. **Cookie存储机制缺失** RestTemplate默认不自动保存Cookie,需手动配置存储策略: ```java @Bean public RestTemplate restTemplateWithCookies() { HttpClient httpClient = HttpClients.custom() .setDefaultCookieStore(new BasicCookieStore()) // 启用Cookie存储 .build(); return new RestTemplate(new HttpComponentsClientHttpRequestFactory(httpClient)); } ``` 数学表达式说明Cookie传递关系: $$ \text{有效请求} = \text{首次认证请求} \rightarrow \text{获取Cookie} \rightarrow \text{携带Cookie的后续请求}[^1] $$ 2. **Cookie跨域验证失败** 模拟登录Grafana时需确保: - 服务端返回的`grafana_session`被正确解析 - 重定向请求自动携带Cookie(需配置`RedirectStrategy`) #### 二、超时与连接配置验证 1. **超时参数优化公式** 根据系统承载能力设置阈值: $$ T_{\text{read}} = \text{平均响应时间} \times 2 + 1000\text{ms} $$ ```java HttpComponentsClientHttpRequestFactory factory = new HttpComponentsClientHttpRequestFactory(); factory.setConnectTimeout(3000); // 建议值:3-5秒 factory.setReadTimeout(15000); // 建议值:业务平均响应时间×2 ``` 2. **连接池耗尽问题** 使用Apache HttpClient避免默认实现的限制: ```java PoolingHttpClientConnectionManager poolManager = new PoolingHttpClientConnectionManager(); poolManager.setMaxTotal(200); // 最大连接数 poolManager.setDefaultMaxPerRoute(50); // 单路由最大连接数 CloseableHttpClient httpClient = HttpClients.custom() .setConnectionManager(poolManager) .build(); ``` #### 三、请求失败排查流程 1. **诊断步骤** ```mermaid graph TD A[请求失败] --> B{状态码分析} B -->|4xx| C[检查请求头Cookie设置] B -->|5xx| D[检查服务端状态] B -->|Timeout| E[调整超时参数] C --> F[使用拦截器打印Cookie] E --> G[网络延迟测试] ``` 2. **请求拦截器实现** 添加日志拦截器验证Cookie传递: ```java restTemplate.getInterceptors().add((request, body, execution) -> { System.out.println("携带Cookie:" + request.getHeaders().get("Cookie")); return execution.execute(request, body); }); ``` #### 四、典型问题解决方案 **场景:Grafana跳转认证失败** 1. 确保Cookie在重定向时保留: ```java HttpClientContext context = HttpClientContext.create(); context.setCookieStore(cookieStore); // 执行请求时传递context ResponseEntity<String> response = restTemplate.exchange(uri, method, entity, String.class, context); ``` 2. 禁用自动重定向手动处理: ```java RequestConfig config = RequestConfig.custom() .setRedirectsEnabled(false) // 关闭自动重定向 .build(); ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值