cookie.getMaxAge()的默认值

最新推荐文章于 2023-05-04 22:01:01 发布
最新推荐文章于 2023-05-04 22:01:01 发布
阅读量1.6k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: web 文章标签: cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/liutao2001/article/details/82354944
本文详细介绍了如何使用cookie.getMaxAge()来设置Cookie的有效期。包括如何通过设置正数值使Cookie保存在客户端硬盘上直到指定时间过期;如何设置负数值使Cookie仅存储在浏览器内存中,关闭浏览器即消失;以及如何设置为0来立即删除Cookie。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

cookie.getMaxAge() 可以为正数,表示此cookie从创建到过期所能存在的时间,以秒为单位,此cookie会存储到客户端电脑,以cookie文件形式保存,不论关闭浏览器或关闭电脑,直到时间到才会过期。

可以为负数,表示此cookie只是存储在浏览器内存里,只要关闭浏览器,此cookie就会消失。cookie.getMaxAge()默认值为-1。

还可以为0,表示从客户端电脑或浏览器内存中删除此cookie。

Servlet第五篇【介绍会话技术、Cookie的API、详解、应用】
ldxxxxll的博客
04-20 951
Cookie是由W3C组织提出,最早由netscape社区发展的一种机制网页之间的交互是通过HTTP协议传输数据的,而Http协议是无状态的协议。无状态的协议是什么意思呢?一旦数据提交完后,浏览器和服务器的连接就会关闭,再次交互的时候需要重新建立新的连接。服务器无法确认用户的信息,于是乎,W3C就提出了:给每一个用户都发一个通行证,无论谁访问的时候都需要携带通行证,这样服务器就可以从通行证上确认用户的信息。通行证就是Cookie
JavaWeb基础学习(四)--Cookie & Session
七宝.博客
09-20 319
会话状态管理 HTTP协议是一种无状态的协议,WEB服务器本身不能识别出哪些请求是同一个浏览器发出的,浏览器的每一次请求都是完全孤立的。   问题引入: 怎么才能实现网上购物:某个用户从网站的登录页面登入后,再进入购物页面购物时,负责处理购物请求的服务器程序必须知道处理上一次请求的程序所得到的用户信息。   如何解决: 作为 web 服务器,必须能够采用一种机制来唯一地标识一个用户,...
JSP中cookie.getMaxAge() 怎么总是得到 -1 呢? 你弄明白没啊???我郁闷了一天了现在也搞明白
一只苟延残喘的卑微蝼蚁
05-07 1295
不知道怎么回事我贴代码的提问题竟然不显示出来, 我用一个页面设置给客户端添加cookie, 用另一个页面获取cookie,能获取到值,只有getValue(); 返回值是正确的, 其他所有值都被默认了一样,时间变成了-1.,domain和path等变成null,问题出在什么地方啊?是版本问题? 环境是: 我用ie6和ie8结果是一样的,而服务器是 tomcat的 你们好像说的和我搜索出来的是一样...
cookie.getMaxAge() 总是得到 -1 问题
qq_36139201的博客
09-23 610
浏览器是不会发送cookie属性,比如路径和年龄。它只返回名称和值。如果max过期了,浏览器就不会发送cookie了。如果浏览器路径没有被新URI覆盖,那么浏览器无论如何也不会发送cookie。如果你真的需要在设置cookie之后确定cookie的年龄,那么在你设置cookie时,你应该在其他地方记住它,例如在数据库表中,与登录的用户和cookie名称相关联。这个问题与Java s...
cookiegetMaxAge 获取总是-1的问题
隐0士的博客
09-08 7223
在判断cookie是否过期的时候,我除了判断能不能拿到cookie外,还加了getMaxAge是否大于0的判定方法,后来发现这样就有问题了,getMaxAge返回的值总是-1,其他信息除了name和value外都是一样的值。 发现Cookie从服务器端发送到客户端时,信息是完整的,Cookie从客户器端发送到服务端时,信息只剩下key、value了。后来想了一下 ,域不对的Cookie、路径不对
cookie.getMaxAge()的-1是什么意思
03-09 4362
当浏览器第一次访问服务器的时候,服务器给浏览器创建了一个Cookie,但是这个Cookie的有效期是多久呢,通过cookie.getMaxAge(),得到的时间竟然是-1,网上找了找原因,说是浏览器关闭即过期,但是我重启浏览器后,为什么也能get到Cookie呢,我并没有创建Cookie呀,后来,我就多次重启浏览器,并记录里面的SESSIONID,我发现,每次的SESSIONID还真不一样,说明真...
jsp服务端获取CookiegetMaxAge总是-1
一只苟延残喘的卑微蝼蚁
05-09 890
jsp服务端获取CookiegetMaxAge总是-1,有哪位能告诉下我原因?有个奇怪的问题,我明明把JSESSIONID这个cookie的MaxAge(过期时间)设置成了2分钟,userName这个Cookie的MaxAge(过期时间)设置成了30天,为什么从浏览器中传回到服务器上时,我在服务器端打印出JSESSIONID这个cookie的MaxAge却变成了-1,打印userName这个Co...
package com.sie.common.config; import jakarta.servlet.*; import jakarta.servlet.http.Cookie; import jakarta.servlet.http.HttpServletRequest; import jakarta.servlet.http.HttpServletResponse; import org.apache.commons.lang3.LocaleUtils; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.context.i18n.LocaleContextHolder; import org.springframework.stereotype.Component; import org.springframework.web.util.WebUtils; import java.io.IOException; import java.util.Arrays; import java.util.List; import java.util.Locale; @Component public class InitializationLocalFilter implements Filter { // 支持的语言列表(扩展繁体中文和葡萄牙文) private static final List<String> SUPPORTED_LOCALES = Arrays.asList( "zh_CN", "zh_TW", // 中文(简体/繁体) "en_US", // 英文 "pt_PT", "pt_BR" // 葡萄牙文(葡萄牙/巴西) ); private static final String DEFAULT_LOCALE = "zh_CN"; // 默认中文简体 private static final String LOCALE_PARAMETER = "locale"; // 请求参数名 private static final String LOCALE_COOKIE_NAME = "locale_request_change_attr"; // Cookie名 private static final int COOKIE_EXPIRE = 1209600; // Cookie有效期(14天) private static final Logger LOGGER = LoggerFactory.getLogger(InitializationLocalFilter.class); @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpRequest = (HttpServletRequest) request; HttpServletResponse httpResponse = (HttpServletResponse) response; // 1. 解析语言:优先取请求参数,其次取Cookie,最后用默认 Locale currentLocale = resolveLocale(httpRequest); // 2. 设置当前线程的语言环境 LocaleContextHolder.setLocale(currentLocale, true); // 3. 将语言存入Cookie(下次请求可复用) addCookie(httpResponse, LOCALE_COOKIE_NAME, currentLocale.toString(), COOKIE_EXPIRE); // 4. 继续执行请求链 chain.doFilter(request, response); // 5. 清理线程变量 LocaleContextHolder.resetLocaleContext(); } /** * 解析请求中的语言(参数 > Cookie > 默认) */ private Locale resolveLocale(HttpServletRequest request) { // 从请求参数获取(如 ?locale=zh_TW 或 ?locale=pt_BR) String paramLocale = request.getParameter(LOCALE_PARAMETER); if (paramLocale != null && SUPPORTED_LOCALES.contains(paramLocale)) { return LocaleUtils.toLocale(paramLocale); } // 从Cookie获取 Cookie localeCookie = WebUtils.getCookie(request, LOCALE_COOKIE_NAME); if (localeCookie != null && SUPPORTED_LOCALES.contains(localeCookie.getValue())) { try { return LocaleUtils.toLocale(localeCookie.getValue()); } catch (IllegalArgumentException e) { LOGGER.warn("Cookie中的语言格式无效: {}", localeCookie.getValue()); } } // 默认返回中文简体 return LocaleUtils.toLocale(DEFAULT_LOCALE); } /** * 添加语言Cookie */ private void addCookie(HttpServletResponse response, String name, String value, int maxAge) { Cookie cookie = new Cookie(name, value); cookie.setPath("/"); // 全站有效 cookie.setMaxAge(maxAge); cookie.setHttpOnly(true); // 防止JS读取,增强安全性 response.addCookie(cookie); } }根据这个文件,优化一下你写的代码
最新发布
07-12
我们有一个自定义的过滤器`InitializationLocalFilter`,它通过请求参数、Cookie默认值来解析语言,并设置到当前线程和Cookie中。 而之前我们使用的是Spring的`LocaleChangeInterceptor`和`LocaleResolver`,现在...
JSP处理Cookie的方法详解.txt
12-04
- **获取特定Cookie的值**:可以编写一个静态方法`getCookieValue`,它接受Cookie数组、Cookie名称和默认值作为参数,返回匹配的Cookie值或默认值。这种方法简化了从Cookie数组中查找特定Cookie的过程。 - **创建...
JavaWeb 学习笔记之Cookie & Session (一)
weixin_42153627的博客
07-29 291
会话管理 Web 应用程序是使用 Http 协议传输数据的,Http 协议是无状态的协议,一旦数据交换完毕,则连接就会自动关闭,再次交换数据需要建立新的连接,这就意味着服务器无法从连接上跟踪会话。会话跟踪是 Web 程序中常用的技术,用来跟踪用户整个会话,通常的会话跟踪技术是 Cookie 和 Session 技术。 Cookie 通过在客户端记录信息确定用户身份, Session 通过在服务器...
cookie
zjh0101的博客
11-18 722
是一个客户端会话技术,是由服务器端创建,放在响应头发送到客户端保存,用于存储少量数据,因为存放在客户端中,容易被人编造伪造,不是很安全。的转移,在大型的网站,一般会有专门的Session服务器集群,用来保存用户会话,这个时候。库、文件中 Cookie是客户端保存用户信息的一种机制,用来记录用户的一些信息,也是实现。是保存在客户端的数据,所以如果不做设定,默认情况下是跟着客户端一起消失,如果设置。是在服务端保存的一个数据结构,用来跟踪用户的状态,这个数据可以保存在集群、数据。属性,其他属性是不可读的。
HTTP 缓存新鲜度 Cache-Control:max-age
小楼一夜听春雨,深巷明朝卖杏花
05-04 3389
当客户端发起一个请求时,缓存检索到已有一个对应的陈旧资源(缓存副本),则缓存会先将此请求附加一个If-None-Match头,然后发给目标服务器,以此来检查该资源副本是否是依然还是算新鲜的,若服务器返回了 304 (Not Modified)(该响应不会有带有实体信息),则表示此资源副本是新鲜的,这样一来,可以节省一些带宽。有些内容是不怎么相对变化的,比如图片,比如js css这些,但是服务器配置这些有问题,没有考虑到带宽的优化,体验性的提升,所以没有配置描述缓存过期时间的内容。这两个时间相减*10%。
连接池中 maxActive,maxWait,maxAge,maxIdel参数
热门推荐
daponi的博客
08-02 2万+
前言 连接池本质作用是为客户端提供连接复用,提升连接效率,降低系统开销。Tomcat的连接池提供了maxActive,maxWait,maxIdle,minIdle,initialSize等参数,配置连接池的大小,用户根据自身业务需求配置这几个参数。同时,因为对端数据库服务器状态不受tomcat控制,所以tomcat需要有检查连接可用性的机制,通过testOnBorrow,testWhileIdl...
Cookie规范
09-23 1831
http协议之cookie标准RFC6265介绍   cookie是现代web系统开发中非常重要的一个技术,最近对cookie标准RFC6265进行了了解,从中选取了部分内容。 1.cookie的主要作用   因为HTTP协议是无状态的,对于一个浏览器发出的多次请求,WEB服务器无法区分是不是来源于同一个浏览器。所以,需要额外的数据用于维护会话。 Cookie 正是这样的一段随HTTP请
为什么 cookie.getMaxAge() 总是得到 -1 ?
weixin_30522095的博客
01-04 428
static public void setHttpCookie(HttpServletResponse response, String payload) { Cookie c = new Cookie(COOKIE_NAME, payload); c.setMaxAge(60*86400); // expire sixty days in the future ...
Cookie补充的一些知识
lishundi的博客
10-04 928
Cookie的有效期 Cookie的maxAge决定着Cookie的有效期,单位为(Second)。 Cookie中通过getMaxAge()与setMaxAge(int maxAge)读写maxAge属性。 如果maxAge属性为正数,则表示该Cookie会在maxAge秒之后自动失效。 浏览器会将maxAge为正数的 Cookie持久化,即写到对应的Cookie文件中。无论客户关闭了浏览...
Cookie/Session机制详解
专注自动化、性能测试、测试架构学习交流
10-12 727
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。本章将系统地讲述Cookie与Session机制,并比较说明什么时候不能用Cookie,什么时候不能用Session。1.1 Cookie机制在程序中,会话跟踪是很重要的事情。理
浏览器缓存机制
2197
07-25 377
浏览器缓存 浏览器缓存是浏览器在本地磁盘对用户最近请求过的文档进行储存,当访问者在访问同一个页面时,浏览器就可以直接从本地磁盘加载文档。 当用户第一次用户发起一个静态资源请求的时候,http返回200的状态码,如果没有关闭缓存请求的话则会在返回头中返回包含last-Modified以及Etag和Expires的字段,然后将文件保存在Cache目录下;当后续请求该文件时候看缓存类型。 分类 强缓...
php cookie max age,使用spring-session时,动态修改cookie的max-age
weixin_42351363的博客
03-19 1324
使用spring-session时,动态修改cookie的max-age不论是使用spring提供的spring-session,还是使用servle容器实现的http session。原理都是把session-id以cookie的形式存储在客户端。每次请求都带上cookie。服务器通过session-id,找到session。spring-session的使用由“记住我”引发的一个问题用户登录的...
Cookie[] cookies = httpRequest.getCookies(); if (cookies != null) { for (Cookie cookie : cookies) { if (cookie != null) { // 清理 Cookie 名称和值 String sanitizedCookieName = sanitizeCookieName(cookie.getName()); String sanitizedCookieValue = sanitizeCookieValue(cookie.getValue()); // 创建一个新的 Cookie 对象,确保名称和值是安全的 Cookie sanitizedCookie = new Cookie(sanitizedCookieName, sanitizedCookieValue); sanitizedCookie.setPath("/"); sanitizedCookie.setDomain("domainvalue"); sanitizedCookie.setMaxAge(cookie.getMaxAge()); // 保留原始 Max-Age sanitizedCookie.setHttpOnly(true); // 防止 JavaScript 访问 sanitizedCookie.setSecure(httpRequest.isSecure()); // 仅在 HTTPS 下传输 // 添加到响应中 httpResponse.addCookie(sanitizedCookie); } } }这段代码涉及HTTP响应截断:Cookies,怎么改
03-30
<think>好的,用户想修改Java代码来防止HTTP响应截断漏洞,并确保Cookie的安全性,包括设置HttpOnly和Secure属性。我需要仔细分析这个问题,并提供正确的解决方案。 首先,HTTP响应截断通常是因为用户输入中包含了换行符(如\r\n),导致响应头被分割。比如,攻击者可能提交类似“Wiley Hacker\r\n...”的内容,使得服务器返回多个响应。这可以通过对用户输入进行过滤,移除或替换换行符来解决。记得引用中的例子提到过这种情况,可以参考引用[3]。 接下来是Cookie的安全性设置。用户提到HttpOnly和Secure属性。根据引用[2],HttpOnly可以防止JavaScript访问Cookie,增强安全性。而Secure属性确保Cookie仅通过HTTPS传输。此外,还要检查Domain和Path属性,确保Cookie的作用范围正确,避免泄露到其他域或路径。同时,设置合适的过期时间,避免长期有效,引用[1]也提到了这些检查。 在Java中,处理Cookie通常使用HttpServletResponse的addCookie方法。旧版本的Servlet可能不支持直接设置HttpOnly,可能需要手动添加Set-Cookie头。但Servlet 3.0及以上版本支持setHttpOnly方法。同时,需要确保Secure属性在HTTPS环境下启用,否则可能导致Cookie无法传输。 另外,用户输入验证也很重要。所有用户提供的数据,如Cookie的值,都应进行过滤,移除非法字符,防止SQL注入或XSS攻击,引用[1]提到过滤Cookie中的字符。可以使用replaceAll方法替换掉换行符和分号等。 然后,考虑代码的具体实现。例如,创建Cookie对象后,设置HttpOnly和Secure属性,同时设置Domain、Path和Max-Age。在添加Cookie到响应头时,注意使用正确的方法,避免使用旧版本导致属性不生效。如果使用Servlet 3.0以下,可能需要手动拼接Set-Cookie头,但这样容易出错,建议升级或寻找其他方式。 最后,测试代码是否生效,检查响应头中的Set-Cookie是否包含正确的属性。同时,确保服务器使用HTTPS,这样Secure属性才能起作用。另外,处理并发安全的问题,引用[4]提到使用同步锁或原子操作,虽然这可能与当前问题关联不大,但也需要注意代码的线程安全性。 总结步骤:过滤用户输入中的换行符,正确设置Cookie的各项安全属性,验证并测试响应头是否正确,确保服务器配置支持HTTPS。这样就能有效防止HTTP响应截断和提升Cookie安全性。</think>要解决HTTP响应截断漏洞并提升Cookie安全性,需从输入过滤和属性设置两方面调整Java代码,以下是具体实现步骤: --- ### **1. 防止HTTP响应截断** **漏洞原因**:攻击者通过输入包含换行符(如`\r\n`)的内容截断HTTP响应头[^3] **解决方案**:对用户输入进行过滤,替换所有换行符和分号 ```java String sanitizedValue = originalValue.replaceAll("[\r\n;]", ""); ``` --- ### **2. 设置Cookie安全属性** #### **关键属性设置** | 属性 | 作用 | 实现代码 | |------------|--------------------------|------------------------------| | **HttpOnly** | 禁止JavaScript访问Cookie | `cookie.setHttpOnly(true);` | | **Secure** | 仅通过HTTPS传输Cookie | `cookie.setSecure(true);` | | **Domain** | 限制Cookie作用域 | `cookie.setDomain("yourdomain.com");` | | **Path** | 限制Cookie路径 | `cookie.setPath("/");` | | **Max-Age** | 设置过期时间 | `cookie.setMaxAge(3600);` | #### **完整代码示例** ```java // 创建Cookie对象并过滤非法字符 String cookieValue = request.getParameter("cookieParam"); String sanitizedValue = cookieValue.replaceAll("[\r\n;]", ""); // 防御响应截断 Cookie cookie = new Cookie("authToken", sanitizedValue); // 设置安全属性 cookie.setHttpOnly(true); // 防御XSS窃取Cookie[^2] cookie.setSecure(true); // 仅HTTPS传输[^1] cookie.setDomain("yourdomain.com"); cookie.setPath("/"); cookie.setMaxAge(3600); // 过期时间1小时 // 添加到响应头 response.addCookie(cookie); ``` --- ### **3. 补充安全措施** 1. **强制HTTPS**:确保服务器部署SSL证书,否则`Secure`属性会导致Cookie失效 2. **敏感操作保护**:对Cookie读写操作添加同步锁,防止并发问题[^4] ```java synchronized (this) { response.addCookie(cookie); } ``` --- ### **验证方法** 检查HTTP响应头是否包含安全标记: ``` Set-Cookie: authToken=sanitized_value; HttpOnly; Secure; Domain=yourdomain.com; Path=/; Max-Age=3600 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值