认识 Cookie 和 Session

已于 2022-08-13 22:53:58 修改
阅读量723 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Linux 基础 文章标签: http 网络
于 2022-08-11 23:01:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/challenglistic/article/details/126211392
本文介绍了Cookie的基本概念及其在实现自动登录中的作用,并探讨了Cookie的安全隐患。此外,还介绍了Session作为解决方案来提升安全性的方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

我们进入B站首页,无需输入账号密码,甚至不用点登录,我们就自动登陆了,其实这就是Cookie在起作用。

目录

一、初识 Cookie

1、什么是Cookie

2、Cookie有什么用

3、Cookie文件在哪

4、使用Cookie自动登录的过程

(1) 预备知识

(2) 自动登录的过程

二、代码验证Cookie的存在

1、验证Cookie信息保存在浏览器中(认识Set-Cookie属性) 

 2、验证浏览器的请求携带Cookie信息(认识Cookie属性)

三、Cookie文件存在的安全隐患

四、认识Session

一、初识 Cookie

1、什么是Cookie

Cookie可以看作是一个文件,这个文件里保存了用户的私密信息,如登陆某个网站的账号和密码。

2、Cookie有什么用

就像最开始说的,有了Cookie,我们在访问一些网站的时候无需填写账号和密码便可以直接登录,登录一个网站的时候会推荐我们想看的信息,一定程度上提升了用户体验。

3、Cookie文件在哪

http协议并不会保存历史请求,它只关注当前收到的请求,所以可以肯定的是,Cookie文件不在服务端。现在只剩下一个答案,那就是在浏览器中,而且Cookie文件是跟网站绑定的

每次访问B站首页的时候,首页会给我们推荐我们想看的内容;但是访问腾讯新闻首页的时候,可能推荐的内容又不一样,因此,浏览器的每个网站保存了该网站对应的Cookie文件

4、使用Cookie自动登录的过程

(1) 预备知识

http协议:虽然http协议不保存历史请求,但能够识别Cookie信息

浏览器:浏览器的某个网站如果包含Cookie信息,那么在向服务器发送请求的时候会自动携带Cookie信息。

(2) 自动登录的过程

当我们第一次登录B站的时候,我们需要输入账号和密码,登录成功以后,服务端返回网站资源,此时响应头中会包含Set-Cookie属性,浏览器能识别该属性,然后会给这个网站添加Cookie文件。这样的话,该网站就有了对应的Cookie文件了。

后续发送登录请求的时候,请求中就会携带这些Cookie信息(登录的账号和密码),服务端识别到了Cookie,同时验证通过的话,此时服务端就会返回登录以后的页面。

至于有的时候为什么自动登录会失效?答案是Cookie可以设置到期时间 

 

二、代码验证Cookie的存在

在第一次访问某个网站的时候,服务端可以主动给这个网站添加Cookie信息,下一次浏览器再次请求这个网站的时候,就会携带之前添加的Cookie信息。下面我们的验证分为两步,第一步是先给网站添加Cookie信息,在浏览器中查看该网站是否包含了Cookie信息;第二步重新访问这个网站,在服务端查看请求是否包含Cookie信息。

1、验证Cookie信息保存在浏览器中(认识Set-Cookie属性) 

既然要给网站设置Cookie信息,这里就需要认识请求头的Set-Cookie属性了,Set-Cookie属性的值必须是键值对的形式,该属性的使用方式如下:

Set-Cookie: id=gzx\n;
Set-Cookie: passwd=123456\n;    //请求头里可以添加多个Set-Cookie属性

 服务端的局部代码如下:

std::string http_response = "http/1.0 200 OK\n";            //构建响应
http_response += "Set-Cookie: id=gzx\n";                    //设置Cookie信息
http_response += "Set-Cookie: passwd=123456\n";        
http_response += "\n";
    
send(sock,http_response.c_str(),http_response.size(),0);     //服务器发送响应

 2、验证浏览器的请求携带Cookie信息(认识Cookie属性)

接下来需要验证,再次请求这个包含Cookie信息的网站时,发送的请求会携带Cookie信息,此时请求头里就会出现一个Cookie属性,让服务端知道,请求中携带了Cookie信息。我们刷新一下上面的网站,服务端将收到的请求打印出来,我们可以看到Cookie属性包含了我们之前设置的Cookie信息。

三、Cookie文件存在的安全隐患

我们发送的请求其实是可以被第三方拦截或者监听的,因此如果我们发送的请求携带了Cookie,此时第三方就可以获取到我们的Cookie信息,然后以我们的身份访问特定的资源。若我们保存的是用户名和密码这样的私密信息,那么后果就很严重了,因此,一般不会单纯的使用Cookie。

为了应对这种隐患,我们提出了 session,即会话管理,session的核心思路是:既然私密信息保存在浏览器中不安全,那么我们就把私密信息保存在服务端

四、认识Session

为了缓解私密信息泄漏的风险,我们提出了Session,Session也叫会话管理,在用户第一次登录时候,就将用户的私密信息(如账号密码等)存储在服务端。

第一次登录B站的时候,也是需要传递账号和密码的明文信息,此时会在服务端形成一个Session文件用于保存用户的私密信息,响应头中Set-Cookie属性对应的值就是Session文件的id,下面统一称为sessionId。

在后续的登录过程中,浏览器发送请求时,携带的只是sessionId,即便是被拦截了,第三方拿到的也只是sessionId,一定程度上缓解了私密信息泄漏的风险,但风险依然存在。如果第三方带着我们的sessionId去请求对应网站的内容,依然可以请求到。

只不过现在有了手机验证码的存在,即便是有了sessionId,服务端检测到异地登录的话,会要求你输入手机验证码,这样的话就进一步保护了我们的私密信息,不允许第三方轻易登录。

cookiesession区别
bhegi_seg的博客
07-30 202
Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了session是一种特殊的cookiecookie是保存在客户端的,而session是保存在服务端。...
网络原理之HTTP协议,及理解CookieSession的区别
qq_41603622的博客
06-30 2071
文章目录一、HTTP原理简介二、HTTP内容简介1. 认识URL2. HTTP协议格式3. HTTP的方法4. HTTP的状态码通过 Fiddler 抓包工具分析请求响应的格式5. HTTP常见Header6. Cookie Session 的简单介绍三、补充1.Http VS Https 提示:以下是本篇文章正文内容 一、HTTP原理简介    HTTP协议(超文本传输协议HyperText Transfer Protocol):它是基于TCP协议的应用层传输协议,简单来说就是客户端服务端进行数
Session CookieHttpOnlysecure属性
10-29
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。 2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取cookie后进行攻击。 其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session CookieHttpOnly属性。 也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie的相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
cookie的常见属性
subsistent的博客
02-16 127
secure设置 为 true 了之后cookie只能通过https协议发送 http协议是不能发送的 这样也是为了增加cookie的安全性。expirescookie的时效 分为 session会话时效 时间时效 时间时效是服务器时间也就是世界标准时间。httponly设置 为 true 了之后可以防止js程序访问 防止 xss攻击 增加cookie的安全性。path路径 符合路径的文件才能访问cookie。键名 cookie键值对的键名。键值 cookie键值对的键值。
如何查看网站的cookie
欢迎来到“Python算法探索”,我是GT算法工程师,一名热爱计算机算法的博主。在这里,我们将一起深入探索Python世界中的各种算法,从基础到高级,从理论到实践。我参加过很多算法比赛,积累了丰富的经验,希望通过这个播客与你分享。让我们一起用Python探
05-27 7264
本文将介绍几种常用的方法,帮助大家更好地理解使用cookie
原来CookieSession是这样子的。
希冀
04-20 1450
文章目录Cookie饼干什么是Cookie?如何创建Cookie服务器如何获取CookieCookie值的修改浏览器查看CookieCookie生命控制Cookie有效路径Path的设置Cookie练习---免输入用户名登录Session会话什么是Session会话?如何创建Session获取(id号,是否为新)Session域数据的存取Session生命周期控制浏览器Session之间关联...
cookiesession详解
m0_46657493的博客
03-29 2706
背景:http是一个无状态的协议,短连接(每次请求响应都会新建连接及关闭连接) 注:http1.1提供了长连接 cookie概念 定义: cookies 是存储在客户端计算机上的文本文件,并保留了用户的各种跟踪信息 作用: 会话保持,如完成用户的登录与状态保持 cookie工作原理: 客户端向服务区发起登录请求 服务器脚本向浏览器发送一组 Cookies。例如:姓名、年龄或识别号码等。 浏览器将这些信息存储在本地计算机上,以备将来使用。 当下一次浏览器向 Web 服务器发送任何请求时,浏览器会把这些
HTML5 Web缓存运用程序缓存(cookie,session)
01-19
在介绍HTML5 web缓存前,来认识一下cookiesessionsession: 由于HTTP是无状态的,你是谁?你干了什么?抱歉服务器都是不知道的。 因此session(会话)出现了,它会在服务器上存储用户信息以便将来使用(比如...
【Linux】HTTP协议中的cookiesession
加油,考上985的研究生
09-09 1188
HTTP Cookie(也称为Web Cookie浏览器Cookie或者简称为Cookie)是服务器发送到用户浏览器并保存在浏览器上的一小块数据,它会在浏览器之后向同一服务器再次发起请求时被携带并发送到服务器上。通常,它用于告知服务器两个请求是否来自同一个浏览器,如保持用户的登录状态。记录用户偏好等。一般分为内存级文件级CookieHTTP Session是服务器用来跟踪用户与服务器交互期间用户状态的机制。
Ios CookieSession
Z1591090的博客
12-03 1282
Cookie的工作原理 前言: http是无状态的,这是什么意思呢?就是说,在没有cookie之前,你第一次访问这个页面第二次访问这个页面, 服务器是不知道的,不知道前一次是你。那么问题来了,我怎么登录登录成功后,刷新下,服务器就不认识我了, 不展示我的信息了,这怎么能行,于是cookie产生了 原理: cookie就像服务器给用户贴的标签,用户访问一个web站点时,这个web站点就可以...
利用cookie免账号密码登录b站
The Home Of Salt Fish
05-08 3万+
document.cookie ="SESSDATA=49d4147c%256557247677%2Cf295e641;domain=.bilibili.com;path=/"; 登录b站,f12打开浏览器控制台,复制之前账号登录请求头里的 对应cookie信息 添加到上面 document.cookie的参数里 然后刷新浏览器即可 ...
前端登陆之cookie
weixin_72913454的博客
01-15 7348
前端登陆之cookie
前台请求不带cookie的问题解决方案大汇总
u013282737的博客
09-19 5万+
今天碰到一个很棘手的问题,前端请求后端不带cookie, 请求时header里面就是没有cookie,可能还少了点其他东西 很头疼,尝试了很多办法,还是不行,比如下面几种: 1:我是用的axios请求的,很多人只加下面这一行代码就搞定了,但是,我没有 // 允许携带cookie axios.defaults.withCredentials=true 2:然后,有人加withCred...
使用Cookies做免登陆时你必须知道的
正在编程
10-13 1万+
很多网站登录一次后,再打开该网站就不需登录了,原因是使用了Cookies,如果做爬虫时,我们把Cookies注入的请求中,就绕过了登录界面。本文介绍如何从浏览器获取Cookies字符串,然后用代码注入到request里 chrome 观察Cookies的那几个属性:值、名称、domain、过期时间、path、expires,这几参数的意义:这里 然后就是把Cookies字符串粘
cookie登录知乎
mini_panda的博客
04-06 5150
cookie登录个人知乎主页 步骤: 1、用自己账号登录知乎,然后复制下来自己的cookie信息。 2、用request.get(url,headers=headers)把cookie传入get请求中 3、用BeautifulSoup匹配内容 一、用自己账号登录知乎,获取自己的cookie信息。 二、构造请求函数,并把cookie信息加入 ...
使用cookie做用户登录的过程详解
923723914
08-07 1万+
不管是游戏,还是网站,最基本的功能,就是用户注册登录。 或许,我们做过多次用户的登陆注册的功能,但我们是否想过,为什么要实现用户的登录。用户怎样做才算登录成功。 对用户而言,登录后,就有了他的一片“天地”,例如,登录优快云后,就可以管理自己的博客,否则,你没有权利管理。关于是否登录成功的问题,在用户看来,如果用户名密码输入成功,就算登入成功,否则,登录不成功。 但这一切,在程序中是怎样实...
CookieSession实现保存登录状态免登录
热门推荐
a754895的博客
09-11 6万+
  首先CookieSession都是为了状态管理,HTTP协议是无状态的,不能保存每次提交的信息,即当服务器返回与请求相对应的应答之后,这次事务的所有信息就丢掉了。   如果用户发来一个新的请求,服务器无法知道它是否与上次的请求有联系。   对于那些需要多次提交数据才能完成的Web操作,比如登录来说,就成问题了。所以需要状态管理也就是通过CookieSession。 一.Cook...
php模拟登录没有cookie,curl模拟登录,无法生成cookie登录不成功
weixin_42253260的博客
03-22 418
Curl 模拟登录网站//$cookie_path = './c'; //设置cookie保存路径//-----登录要提交的表单数据---------------$vars['username'] = '********';$vars['pwd'] = '******';//-------------------------------------$method_post = true;//登录提...
利用cookie实现b站免账号密码登录
The Home Of Salt Fish
06-17 1万+
document.cookie ="SESSDATA=49d4147c%2C8957247677%2Cf295e641;domain=.bilibili.com;path=/"; 在一个没有保存b站cooki信息的网站上访问b站,然后f12打开控制台 将之前登录cookie信息中对应的字段替换上面的对应的部分然后输入,回车刷新浏览器后即可生效 ...
cookie localstorage session
最新发布
03-22
### Cookie、LocalStorage Session 的区别及使用场景 #### 定义与基本特性 Cookie 是一种小型文本文件,由服务器发送到用户的浏览器并存储在客户端上。它主要用于保持用户会话状态以及跨页面传递少量数据[^1]。 LocalStorage 提供了一种更大的存储空间来保存键值对形式的数据,并且这些数据不会因为关闭窗口而消失,除非手动清除或者设置了过期时间[^2]。 SessionStorage 同样用于存储键值对,但它仅限于当前会话期间存在;一旦浏览器标签页被关闭,则所有存储内容都会丢失。 #### 数据容量限制 - **Cookie**: 单个域名下最多可以设置约 20 条记录,每条不超过 4KB 大小。 - **LocalStorage**: 支持更大规模的数据量,默认情况下大多数浏览器允许每个原点 (origin) 存储大约 5MB 到 10MB 左右的信息。 - **SessionStorage**: 类似 LocalStorage ,但通常也有类似的上限范围即 5MB 至 10MB 不等。 #### 生命周期管理 - **Cookie** 可以设定具体的到期日期或有效期,在此之后自动删除;如果未指定则默认当次浏览结束时销毁。 - **LocalStorage** 中的数据没有明确的时间界限,除非应用程序主动调用 API 清理掉特定项或是整个数据库。 - **SessionStorage** 自动绑定至某个单独的 Tab/Window 上面,只要该实例还活着那么里面的内容就一直保留着直到退出为止。 #### 安全考量 由于 Cookies 经常携带重要凭证比如登录令牌之类的敏感资料,因此建议采取额外措施保护它们免受攻击威胁,例如启用 HttpOnly 属性防止 JavaScript 访问、Secure 标志确保只通过 HTTPS 进行通信等等^。 相比之下,虽然 LocalStorage SessionStorage 并不适合用来储存机密级别的东西,但在某些场合仍然能够发挥积极作用——前提是开发者清楚认识到其局限性并且合理规避风险因素。 ```javascript // 设置 localStorage 示例 localStorage.setItem('username', 'JohnDoe'); // 获取 localStorage 值 const username = localStorage.getItem('username'); console.log(username); // 输出 JohnDoe // 删除单个项目 localStorage.removeItem('username'); // 清除全部数据 localStorage.clear(); ``` ```javascript // 设置 sessionStorage 示例 sessionStorage.setItem('pageViewCount', 1); let count = parseInt(sessionStorage.getItem('pageViewCount')) || 0; count += 1; sessionStorage.setItem('pageViewCount', count.toString()); console.log(`Page has been viewed ${count} times.`); ``` ```javascript // 创建带选项 cookies 示例 document.cookie = "name=John Doe; expires=Thu, 18 Dec 2023 12:00:00 UTC"; ``` ### 总结对比表 | 特性 | Cookie | LocalStorage | SessionStorage | |-----------------|----------------------------------|------------------------------|-----------------------------| | **持久性** | 可配置 | 长期 | 当前会话 | | **安全性** | 较高 | 低 | 低 | | **适用范围** | 跨域请求 | 同源策略 | 同源同窗 | | **最大体积** | ~4 KB per domain | ~5 MB - 10 MB per origin | ~5 MB - 10 MB per window | ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值