关于cookie

最新推荐文章于 2025-05-20 23:52:11 发布

转载最新推荐文章于 2025-05-20 23:52:11 发布 · 444 阅读

文章标签：

#cookie

html 专栏收录该内容

10 篇文章

订阅专栏

1:服务器可以向客户端写内容

2:只能是文本内容

3:客户端可以阻止服务器写入

4:只能拿自己webapp写入的东西

5:Cookie分为两种

属于窗口/子窗口（放在内存中的）

属于文本(有生命周期的）

6:在IE浏览器中，一个servlet/jsp设置的cookies能够被同一个路径下面或者子路径下面的servlet/jsp读到(路径 = URL)
(路径 != 真实文件路径)

但是，子路径下面的cookies不能被父路径下的servlet/jsp读到。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

StrGlee

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Springboot中登录后关于cookie和session拦截问题的案例分析

09-07

在Spring Boot应用中，登录验证通常涉及到Cookie和Session两种技术，它们都是用于用户身份验证和会话管理的重要手段。本文将深入探讨如何在Spring Boot中使用Cookie和Session进行登录后的拦截处理。首先，简单介绍...

iOS中关于Cookie验证登录状态

08-30

Cookie是一种常见的机制，用于服务器端存储和客户端管理用户会话。本篇将详细阐述如何在iOS中利用Cookie来验证用户的登录状态。 1. **获取并保存Cookie**：当用户首次登录应用时，服务器通常会返回一个或多个...

参与评论您还未登录，请先登录后发表或查看评论

5 - django-csrf-session&cookie

anhuoqiu1787的博客

03-28

485

目录 1 CSRF跨站请求伪造 1.1 CSRF攻击介绍及防御 1.2 防御CSRF攻击 1.2.1 验证 HTTP Referer 字段 1.2.2 在请求地址中添加 token 并验证 1.2.3 在 HTTP 头中自定义属性并验证 1...

为什么CSRF Token写在COOKIE里面

热门推荐

18年3月萌新白帽子

08-14

2万+

最近做渗透测试的时候经常看到用户的COOKIE信息里带有CSRF等字样的信息，问了一下同事，他们说这个是用来防御CSRF的字段。这一下可把我弄懵了，因为我对CSRF的理解是：攻击者盗用用户的COOKIE执行非用户本意的操作。我的想法是，用户的COOKIE就像是一张门禁卡一样，攻击者可以盗用用户的门禁卡，以被盗用户的身份来执行一些设计增删改的操作，既然用户已经盗用了用户的COOKIE刷卡进门...

Cookie的属性和属性作用

18年3月萌新白帽子

07-12

7969

Cookie属性：name字段：一个cookie的名称value字段：一个cookie的值domain字段：可以访问此cookie的域名path字段：可以访问此cookie的页面路径Size字段：此cookie大小http字段：cookie的httponly属性，若此属性为True，则只有在http请求头中会有此cookie信息，而不能通过document.cookie来访问此cookie。sec...

CSRF与Cookie

agent_peakey的专栏

12-01

3842

【背景知识】 Cookie分为2种：临时cookie，没有expire-day，浏览器打开网页得到，关闭网页销毁。本地cookie，有expire-day，浏览器打开网页得到，生命期结束后才销毁，不论网页是否关闭。浏览器同时打开了A页面和B页面（二者不同域名），A页面中有B页面的资源C。所以用户打开A页面时，会请求B页面中的资源C，发给B的数据包中就带有临时cookie，

CSRF XSS Cookies 的一些见解

Rlxzmdd的博客

04-07

407

/CSRF/ 攻击：在浏览器中插入了 “恶意链接” ，并在用户访问之时让用户访问，达到使用用户的cooikes达到连接指定服务器客户的的验证信息，并进行一些简单的操作。比如：防御：最简单的，可以通过验证cookies进行一些防御。例如在用户操作验证中，判断是否又cookies传过来，如

前端关于cookie那些事儿

秋来九月八

09-23

1201

主域名不同的cookie是不能数据共享的，但一级域名相同，子域名不同的却可以。比如 youkuaiyun.com 和 blog.youkuaiyun.com 和 dengxi.youkuaiyun.com 这三种domain的cookie在dengxi.youkuaiyun.com这个网站都能拿到。

关于Cookie

jacksonary的博客

09-03

1028

【获取Cookie】获取Cookie时是一个数组，在获取Cookie的过程中有一个工具类提供了一个方法（在用户请求接口时根Cookie的key获取对应的Value，虽然行数较多，但注意整体代码的效率）： public static String getValue(HttpServletRequest request, String key) { Cookie[] cookies ...

关于Cookie和Session详解

weixin_45477013的博客

05-20

1478

服务器端在给客户端在响应数据的时候，会自动的将 cookie 响应给浏览器，浏览器接收到响应回来的cookie 之后，会自动的将 cookie 的值存储在浏览器本地。如果我们现在要基于 session 来进行会话跟踪，浏览器在第一次请求服务器的时候，我们就可以直接在服务器当中来获取到会话对象session。如果是第一次请求session，会话对象是不存在的，这个时候服务器会自动的创建一个会话对象session。接下来，在后续的每一次请求当中，都会将 cookie 的数据获取出来，并且携带到服务端。

关于cookie和session的一些理解

主要分享测试的学习资源，帮助快速了解测试行业，帮助想转行、进阶、小白成长为高级测试工程师。

05-18

879

一、HTTP:无状态应用协议超文本传输协议(HTTP)是一种通信协议，它允许将超文本标记语言(HTML)文档从Web服务器传送到客户端的浏览器。 HTTP协议是无状态的应用协议。 1.无状态指的是什么 1）服务器对事物的处理没有记忆能力，服务器不知道客户端是什么状态。客户端向服务器发送HTTP请求，服务器回应之后，服务器本身不会有任何记录。 2）每个HTTP请求都是独立的。一旦数据交换完毕，客户端与服务器端的连接就会关闭，再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪用户登录网站后的

3.关于cookie

开发要有产品的思维

07-05

1010

假设服务器有一个接口，通过请求这个接口，可以添加一个管理员但是，不是任何人都有权力做这种操作的那么服务器如何知道请求接口的人是有权力的呢？答案是：只有登录过的管理员才能做这种操作可问题是，客户端和服务器的传输使用的是http协议，http协议是无状态的，什么叫无状态，就是服务器不知道这一次请求的人，跟之前登录请求成功的人是不是同一个人由于http协议的无状态，服务器忘记了之前的所有请求，它无法确定这一次请求的客户端，就是之前登录成功的那个客户端。于是，服务器想了一个办法它按照下面的流程来认证客户端的身份服务

关于COOKIE个数与大小的问题

01-19

今天有同事又问起关于cookie的问题，我就到网上查询了一下做了一些相关的摘要记录下来，以备不时之用。关于cookie的操作，做为JS程序员应该是相对熟悉一些的，所以就不对它进行过多的说明了。以下就是关于各...

asp.net关于Cookie跨域（域名）的问题

01-01

跨二级域名　我们知道cookie是可以跨二级域名来访问，这个很好理解，例如你 www.test1.com 在的web应用程序创建了一个cookie，要想在bbs.test1.com这样的二级域名对应的应用程序中访问，就必须你在创建cookie的时候...

2022年单片机-第讲.ppt

最新发布

09-10

2022年单片机-第讲.ppt

protobuf-lite-3.5.0-13.el8.tar.gz

09-10

# 适用操作系统：Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录，执行安装 sudo rpm -ivh *.rpm

2020年大学生网络公司实习报告范文.doc

09-10

2020年大学生网络公司实习报告范文.doc

计算机工作总结范文.doc

09-10

计算机工作总结范文.doc

写一个关于cookie和seesion的样例实践

08-09

<think>我们来实现一个完整的Spring Boot示例，展示如何使用Cookie和Session进行用户状态管理。需求：用户访问/login进行登录（模拟），服务器创建会话并将用户信息存入session，同时返回一个包含session ID的Cookie。当用户访问/profile时，通过Cookie中的session ID获取用户信息。步骤： 1. 创建Spring Boot项目，添加Spring Web和Spring Session依赖（这里使用内存session，生产环境建议Redis） 2. 实现登录接口，设置Cookie 3. 实现个人资料接口，从Session读取数据注意：为了简化，我们使用内存Session（默认）并模拟用户登录。依赖（pom.xml）: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-core</artifactId> </dependency> 代码实现：</think>### Cookie与Session实践示例：用户登录状态管理以下是一个完整的Spring Boot实现，展示如何通过Cookie传递Session ID并在服务端管理用户状态： ```java import org.springframework.web.bind.annotation.*; import javax.servlet.http.*; import java.util.*; @RestController public class AuthController { // 模拟用户数据库（实际应使用数据库） private static final Map<String, String> USER_DB = Map.of( "admin", "admin123", "user", "password" ); // 登录接口：验证凭证并创建会话 @PostMapping("/login") public ResponseEntity<String> login( @RequestParam String username, @RequestParam String password, HttpServletRequest req, HttpServletResponse res ) { // 1. 验证用户凭证 if (!USER_DB.containsKey(username) || !USER_DB.get(username).equals(password)) { return ResponseEntity.status(401).body("用户名或密码错误"); } // 2. 创建唯一会话ID String sessionId = UUID.randomUUID().toString(); // 3. 在服务端存储Session数据（实际应使用Redis） HttpSession session = req.getSession(true); session.setAttribute("username", username); session.setAttribute("loginTime", new Date()); session.setMaxInactiveInterval(30 * 60); // 30分钟超时 // 4. 设置安全Cookie传递Session ID Cookie sessionCookie = new Cookie("SESSION_ID", sessionId); sessionCookie.setHttpOnly(true); sessionCookie.setSecure(true); // 生产环境应开启HTTPS sessionCookie.setPath("/"); sessionCookie.setMaxAge(30 * 60); // 与Session超时一致 res.addCookie(sessionCookie); return ResponseEntity.ok("登录成功！"); } // 个人资料接口：通过Session获取用户数据 @GetMapping("/profile") public ResponseEntity<String> profile(HttpServletRequest req) { // 1. 获取Session对象（不自动创建新Session） HttpSession session = req.getSession(false); // 2. 验证会话有效性 if (session == null || session.getAttribute("username") == null) { return ResponseEntity.status(401).body("请先登录"); } // 3. 返回个性化数据 String username = (String) session.getAttribute("username"); Date loginTime = (Date) session.getAttribute("loginTime"); return ResponseEntity.ok(String.format( "用户: %s\n登录时间: %tT\n会话ID: %s", username, loginTime, session.getId() )); } // 登出接口：销毁会话 @PostMapping("/logout") public ResponseEntity<String> logout(HttpServletRequest req, HttpServletResponse res) { // 1. 使当前Session失效 HttpSession session = req.getSession(false); if (session != null) { session.invalidate(); } // 2. 清除客户端Cookie Cookie cookie = new Cookie("SESSION_ID", null); cookie.setPath("/"); cookie.setMaxAge(0); // 立即过期 res.addCookie(cookie); return ResponseEntity.ok("已退出登录"); } } ``` ### 关键安全机制说明 1. **会话固定攻击防护** ```java // 登录成功后重置Session ID req.changeSessionId(); ``` 2. **会话劫持防护** ```java // 绑定客户端指纹 String fingerprint = req.getHeader("User-Agent") + "@" + req.getRemoteAddr(); session.setAttribute("client_fingerprint", sha256(fingerprint)); // 每次请求验证指纹 public boolean validateFingerprint(HttpServletRequest req) { String current = req.getHeader("User-Agent") + "@" + req.getRemoteAddr(); String stored = (String) req.getSession().getAttribute("client_fingerprint"); return stored != null && stored.equals(sha256(current)); } ``` 3. **Cookie安全属性强化** ```properties # application.properties配置 server.servlet.session.cookie.http-only=true server.servlet.session.cookie.secure=true server.servlet.session.cookie.same-site=lax ``` ### 测试流程 1. **登录** ```bash curl -X POST http://localhost:8080/login \ -d "username=admin&password=admin123" \ -c cookies.txt ``` 2. **访问个人资料** ```bash curl -b cookies.txt http://localhost:8080/profile # 返回：用户: admin 登录时间: 14:30:25 会话ID: D2E5F7... ``` 3. **登出** ```bash curl -X POST -b cookies.txt http://localhost:8080/logout ``` ### 会话存储优化（Redis集成） ```java // 添加依赖：spring-boot-starter-data-redis @Configuration @EnableRedisHttpSession public class RedisSessionConfig { @Bean public LettuceConnectionFactory connectionFactory() { return new LettuceConnectionFactory(); // 默认连接localhost:6379 } } ``` > 配置后Session自动存储在Redis，支持分布式扩展