cookie-子cookie

最新推荐文章于 2022-06-23 00:19:15 发布
转载 最新推荐文章于 2022-06-23 00:19:15 发布 · 533 阅读 · 0

本文详细介绍了Cookie的诞生背景及其在客户端和服务端的工作原理。包括Cookie的设置、解析及客户端操作方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Cookie的诞生

由于HTTP协议是无状态的,而服务器端的业务必须是要有状态的。Cookie诞生的最初目的是为了存储web中的状态信息,以方便服务器端使用。比如判断用户是否是第一次访问网站。目前最新的规范是RFC 6265,它是一个由浏览器服务器共同协作实现的规范。

Cookie的处理分为:

服务器像客户端发送cookie

浏览器将cookie保存

之后每次http请求浏览器都会将cookie发送给服务器端

服务器端的发送与解析

发送cookie

服务器端像客户端发送Cookie是通过HTTP响应报文实现的,在Set-Cookie中设置需要像客户端发送的cookie,cookie格式如下:

Set-Cookie: "name=value;domain=.domain.com;path=/;expires=Sat, 11 Jun 2016 11:29:42 GMT;HttpOnly;secure"
其中name=value是必选项,其它都是可选项。Cookie的主要构成如下:

name:一个唯一确定的cookie名称。通常来讲cookie的名称是不区分大小写的。

value:存储在cookie中的字符串值。最好为cookie的name和value进行url编码

domain:cookie对于哪个域是有效的。所有向该域发送的请求中都会包含这个cookie信息。这个值可以包含子域(如:

yq.aliyun.com),也可以不包含它(如:.aliyun.com,则对于aliyun.com的所有子域都有效).

path: 表示这个cookie影响到的路径,浏览器跟会根据这项配置,像指定域中匹配的路径发送cookie。

expires:失效时间,表示cookie何时应该被删除的时间戳(也就是,何时应该停止向服务器发送这个cookie)。如果不设置这个时间戳,浏览器会在页面关闭时即将删除所有cookie;不过也可以自己设置删除时间。这个值是GMT时间格式,如果客户端和服务器端时间不一致,使用expires就会存在偏差。

max-age: 与expires作用相同,用来告诉浏览器此cookie多久过期(单位是秒),而不是一个固定的时间点。正常情况下,max-age的优先级高于expires。

HttpOnly: 告知浏览器不允许通过脚本document.cookie去更改这个值,同样这个值在document.cookie中也不可见。但在http请求张仍然会携带这个cookie。注意这个值虽然在脚本中不可获取,但仍然在浏览器安装目录中以文件形式存在。这项设置通常在服务器端设置。

secure: 安全标志,指定后,只有在使用SSL链接时候才能发送到服务器,如果是http链接则不会传递该信息。就算设置了secure 属性也并不代表他人不能看到你机器本地保存的 cookie 信息,所以不要把重要信息放cookie就对了服务器端设置

cookie示例如下:

?
1
2
3
4
5
6
7
8
9
var http = require( 'http' );
var fs = require( 'fs' );
http.createServer( function (req, res) {
   res.setHeader( 'status' , '200 OK' );
   res.setHeader( 'Set-Cookie' , 'isVisit=true;domain=.yourdomain.com;path=/;max-age=1000' );
   res.write( 'Hello World' );
   res.end();
}).listen(8888);
console.log( 'running localhost:8888' )

5BY_CCV_Q_VJ1__2_TV1
O6PXV8YEU5EJ0G____Q20E5

直接设置Set-Cookie过于原始,我们可以对cookie的设置过程做如下封装:

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
var serilize = function (name, val, options) {
   if (!name) {
     throw new Error( "coolie must have name" );
   }
   var enc = encodeURIComponent;
   var parts = [];
   
   val = (val !== null && val !== undefined) ? val.toString() : "" ;
   options = options || {};
   parts.push(enc(name) + "=" + enc(val));
   // domain中必须包含两个点号
   if (options.domain) {
     parts.push( "domain=" + options.domain);
   }
   if (options.path) {
     parts.push( "path=" + options.path);
   }
   // 如果不设置expires和max-age浏览器会在页面关闭时清空cookie
   if (options.expires) {
     parts.push( "expires=" + options.expires.toGMTString());
   }
   if (options.maxAge && typeof options.maxAge === "number" ) {
     parts.push( "max-age=" + options.maxAge);
   }
   if (options.httpOnly) {
     parts.push( "HTTPOnly" );
   }
   if (options.secure) {
     parts.push( "secure" );
   }
   
   return parts.join( ";" );
}

需要注意的是,如果给cookie设置一个过去的时间,浏览器会立即删除该cookie;此外domain项必须有两个点,因此不能设置为localhost:

?
1
something that wasn 't made clear to me here and totally confused me for a while was that domain names must contain at least two dots (.),hence ' localhost' is invalid and the browser will refuse to set the cookie!

服务器端解析cookie

cookie可以设置不同的域与路径,所以对于同一个name value,在不同域不同路径下是可以重复的,浏览器会按照与当前请求url或页面地址最佳匹配的顺序来排定先后顺序

X_W6SLE3H_AUV181U6D_Q_H

所以当前端传递到服务器端的cookie有多个重复name value时,我们只需要最匹配的那个,也就是第一个。服务器端解析代码如下:

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
var parse = function (cstr) {
   if (!cstr) {
     return null ;
   }
   
   var dec = decodeURIComponent;
   var cookies = {};
   var parts = cstr.split(/\s*;\s*/g);
   parts.forEach( function (p){
     var pos = p.indexOf( '=' );
     // name 与value存入cookie之前,必须经过编码
     var name = pos > -1 ? dec(p.substr(0, pos)) : p;
     var val = pos > -1 ? dec(p.substr(pos + 1)) : null ;
     //只需要拿到最匹配的那个
     if (!cookies.hasOwnProperty(name)) {
       cookies[name] = val;
     } /* else if (!cookies[name] instanceof Array) {
       cookies[name] = [cookies[name]].push(val);
     } else {
       cookies[name].push(val);
     }*/
   });
   
   return cookies;
}

客户端的存取

浏览器将后台传递过来的cookie进行管理,并且允许开发者在JavaScript中使用document.cookie来存取cookie。但是这个接口使用起来非常蹩脚。它会因为使用它的方式不同而表现出不同的行为。

当用来获取属性值时,document.cookie返回当前页面可用的(根据cookie的域、路径、失效时间和安全设置)所有的字符串,字符串的格式如下:

?
1
"name1=value1;name2=value2;name3=value3" ;

当用来设置值的时候,document.cookie属性可设置为一个新的cookie字符串。这个字符串会被解释并添加到现有的cookie集合中。如:

?
1
document.cookie = "_fa=aaaffffasdsf;domain=.dojotoolkit.org;path=/"

设置document.cookie并不会覆盖cookie,除非设置的name value domain path都与一个已存在cookie重复。

由于cookie的读写非常不方便,我们可以自己封装一些函数来处理cookie,主要是针对cookie的添加、修改、删除。

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
var cookieUtils = {
     get: function (name){
      var cookieName=encodeURIComponent(name) + "=" ;
      //只取得最匹配的name,value
      var cookieStart = document.cookie.indexOf(cookieName);
      var cookieValue = null ;
      
      if (cookieStart > -1) {
       // 从cookieStart算起
       var cookieEnd = document.cookie.indexOf( ';' , cookieStart);
       //从=后面开始
       if (cookieEnd > -1) {
        cookieValue = decodeURIComponent(document.cookie.substring(cookieStart + cookieName.length, cookieEnd));
       } else {
        cookieValue = decodeURIComponent(document.cookie.substring(cookieStart + cookieName.length, document.cookie.length));
       }
      }
      
      return cookieValue;
     },
     
     set: function (name, val, options) {
       if (!name) {
         throw new Error( "coolie must have name" );
       }
       var enc = encodeURIComponent;
       var parts = [];
       
       val = (val !== null && val !== undefined) ? val.toString() : "" ;
       options = options || {};
       parts.push(enc(name) + "=" + enc(val));
       // domain中必须包含两个点号
       if (options.domain) {
         parts.push( "domain=" + options.domain);
       }
       if (options.path) {
         parts.push( "path=" + options.path);
       }
       // 如果不设置expires和max-age浏览器会在页面关闭时清空cookie
       if (options.expires) {
         parts.push( "expires=" + options.expires.toGMTString());
       }
       if (options.maxAge && typeof options.maxAge === "number" ) {
         parts.push( "max-age=" + options.maxAge);
       }
       if (options.httpOnly) {
         parts.push( "HTTPOnly" );
       }
       if (options.secure) {
         parts.push( "secure" );
       }
       
       document.cookie = parts.join( ";" );
     },
     delete : function (name, options) {
      options.expires = new Date(0); // 设置为过去日期
      this .set(name, null , options);
     }
    }
cookie((subcookie)介绍
caomiao2006的专栏
04-19 1976
为了绕开浏览器的单域名下的cookie数限制,一些开发人员使用了一种称为cookie(subcookie)的概念。cookie是存放在单个cookie中的更小段的数据。也就是使用cookie值来存储多个名称值对儿。cookie最常见的格式如下所示: name=name1=value1&name2=value2&name3=value3&name4=value4&name5=value5
javascript基础从小白到高手系列二百四十:cookie
最新发布
wanmeijuhao的博客
03-29 277
的名称,第二个元素是cookie 的值。set()方法接收7 个参数:cookie 的名称、cookie 的名称、cookie 的值、可选的Date 对象用。用于取得所有cookie,并以对象形式返回,对象的属性是cookie 的名称,值是cookie 的值。于设置cookie 的过期时间、可选的cookie 路径、可选的cookie 域和可选的布尔值secure 标志。setAll()方法接收6 个参数:cookie 的名称、包含所有cookie 的对象,然后是set()方法中使。
移除cookies的
Notes
01-26 749
HttpCookie cookie = HttpContext.Current.Request.Cookies["hpcCart"];             if (cookie != null)             {//移除cookies的项                 cookie.Values.Remove(cookiesName);                 H
读javascript高级程序设计17-在线检测,cookie,cookie
weixin_34245082的博客
09-20 171
一、在线状态检测 开发离线应用时,往往在离线状态时把数据存在本地,而在联机状态时再把数据发送到服务器。html5提供了检测在线状态的方法:navigator.onLine和online/offline事件。 1.navigator.onLine属性 表示当前的网络状态是否在线,true表示在线,false表示离线。当网络状态变化时,该属性也会随之变化。 2.online和offline事件...
ASP.NET 中 Cookie 的基本知识
wenejiang的专栏
09-21 867
ASP.NET 中 Cookie 的基本知识 Mike PopeVisual Basic User EducationMicrosoft Corporation 2003年1月 摘要:本文介绍如何使用 Visual Basic 在 ASP.NET Web 应用程序中读写 HTTP Cookie。适用于: ASP.NET Microsoft® Visual Studio® .NE
Cookie-Editor:Safari的Cookie编辑器扩展
03-21
**Cookie-Editor:Safari浏览器Cookie管理扩展** Cookie-Editor是一款专为Safari浏览器设计的Cookie编辑工具,它允许用户方便地查看、编辑和管理浏览器中的Cookie数据。这对于开发者进行网页应用测试、调试或者普通...
CookieManager - Cookie Editor-0.2.0.zip
12-30
请注意,此扩展还列出了当前页面上的框架访问的那些 cookieCookies 根据其来源分为不同的部分。 描述: 在弹出的界面上直接编辑与当前页面及其所有CORS框架相关的cookies。 此扩展程序提供了一个工具栏按钮来...
CookieManager - Cookie Editor-crx插件
04-01
语言:English 直接从弹出窗口中编辑与当前页面及其所有框架有关的cookie 该扩展提供了一个工具栏按钮,用于查看和编辑与当前页面相关的所有cookie。 请注意,此扩展名还列出了... com / joue-quroi / cookie-editor /
js-cookie-jar
01-21
6. **跨域支持**:如果你的项目涉及到多个域名,`js-cookie-jar` 可以帮助设置跨域Cookie,确保数据在各个域之间共享。 7. **事件监听**:库还提供了监听Cookie变化的机制,可以注册回调函数来响应Cookie的增...
cookie-orders-java-jrobson1065:GitHub课堂创建的cookie-orders-java-jrobson1065
02-17
您将要使该程序具有从列表中删除各种内容的功能,只需记住这可能会使女童军难过,所以请保持友好。 CookieOrder类 编写此类以跟踪2个实例数据:购买的variety cookie和numBoxes 创建构造函数以处理此数据和2个...
es6封装的cookie工具类
wp12345666666的博客
09-30 1270
SubCookieUtil.js let SubCookieUtil = { get(name, subName){ let subCookies = this.getAll(name); if (subCookies) { return subCookies[subName]; } else {
HTTP-服务器端CooKie与浏览器端Cookie
柒青衿的博客
06-25 6万+
Cookie的来源由于HTTP协议是无状态的,而服务器端的业务必须是要有状态的。Cookie诞生的最初目的是为了存储web中的状态信息,以方便服务器端使用。比如判断用户是否是第一次访问网站。目前最新的规范是RFC 6265,它是一个由浏览器服务器共同协作实现的规范。 Cookie的处理分为: 服务器像客户端发送cookie 浏览器将cookie保存 之后每次http请求浏览器都会将cookie发送
Cookie中的HttpOnly的作用
AdleyTales的技术博客
06-04 3624
cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。
javascript 原生操作 cookie 的工具类
taotaobaobei的博客
06-23 256
javascript 原生操作 cookie 的工具类
如何利用response.addHeader()方法设置cookie
shandalue的专栏
07-02 2万+
cookie设置成HttpOnly是为了防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。 如何在Java中设置cookie是HttpOnly呢? Servlet 2.5 API 不支持 cookie设置HttpOnly http://docs.oracle.com/cd/E17802_01/products/prod
同一网站不同和二级域名和不同目录的cookie
专注于 Java 后端架构、微服务、分布式、前端及 AI 领域的技术分享,是开发者获取硬核知识、交流实战经验的专业博客。
08-11 573
遇到的问题,在开发中做cookie存储的时候没有设置path,导致在用户登录后cookie存储在/user路径下(这时是一个用户列表页面),在操作栏点击添加链接,这时会先进入filter,但问题出现了,在filter里面去cookie值取不出来,因为此时的path为“/”,这就是因为没有设置path造成的尴尬局面。需要特别注意。   1、cookie二级域名的实现: 用户其中一个站点登录...
Fusion Applications Financials 涉及要配置的模块
Jinn Guo - Oracle ERP Consulting
12-07 961
ORACLE 官方概述 The first implementation step is to configure the offerings in the Setup and Maintenance work area by selecting the offerings and options that you want to make available to implement.
关于Cookie的原理、作用,区别以及使用
热门推荐
webEmmet
10-15 8万+
很多同学对cookie不太了解,我在这里为大家简单的讲解下关于cookie的一些知识,并将它的存入,读取以及删除封装成了一个函数,在最后做了一个简单的类似购物网站,将商品的信息通过cookie方式存入到购物车,并在购物车还原的代码。
lua对接bmob数据库
switch_love_case
07-12 2350
lua对接bmob数据库 学习的最终结果: 实现用户注册和登录 数据库增删改查 远程公告 远程更新版本 微信反馈 甚至自己做一个聊天室服务器,等等。。。 准备安卓lua解释器可以使用酷安上的所有lua编程软件,想自己做UI就用基础的软件,不想自己做UI就用FusionApp来做 开始 注册bmob数据库新建一个应用和数据库 我把它起...
Java安全cookie-twist库实现签名机制
- "cookie-twist-master"表明了压缩包中文件的名称或目录结构,表示这是一个主版本的cookie-twist库代码或其依赖文件。 - 通常压缩包的文件名或目录结构对于理解库的版本、结构和可能的模块是重要的信息。 综合...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值