关于Cookie和Session补充点

最新推荐文章于 2025-08-22 15:20:45 发布
原创 最新推荐文章于 2025-08-22 15:20:45 发布 · 置顶 · 8k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#node.js #javascript

本文探讨了Cookie的性能影响,指出过多Cookie会导致带宽浪费,建议为静态资源使用独立域名以优化加载速度。Session作为Cookie的安全替代,其数据存储在服务器端,增强了安全性。然而,Session管理需注意内存使用和跨进程共享,常借助Redis等缓存服务解决。此外,文章还讨论了Session安全策略,包括加密Cookie和结合客户端信息进行签名验证,以防止数据篡改。

关于Cookie和Session补充点

一、Cookie

1、Cookie性能影响

   由于Cookie的实现机制,一旦服务器端向客户端发送了设置Cookie的意图,除非Cookie过期,否则客户端每次请求都会携带这些Cookie到服务器,一旦Cookie设置过多,将会导致报头较大。但其实大多数的Cookie并不需要带上,因为这将会造成部分带宽的浪费。在YSlow的性能优化当中有这么一条:

  • 减小Cookie的大小
     比较严重的情况是,如果在域名的根结点设置Cookie,那么几乎该网站所有子路径下的请求都会带上这些Cookie,特别是静态文件最为典型,以至于造成资源的浪费。好在Cookie在设计时限定了它的域,只有域名相同时才会发送。所以YSlow中有另一种规则来避免Cookie带来的性能影响。
  • 为静态组件使用不同的域名
     简而言之,为不需要Cookie的组件换个域名就可以实现减少无效cookie的传输。所以很多网站静态文件会有特别的域名,使得业务相关的Cookie不再影响静态文件。
     当然使用额外域名的好处不仅仅是这样,还可以突破浏览器下载线程数的限制,我们都知道现在主流浏览器的并发下载线程是六条,使用多一个域名那么将会多增加六条,这样算来,这样类推将会大大加快网站的加载速度。缺点就是,多一个域名的使用在每次访问的时候会多经历一次DNS解析的时间,但是我认为是完全值得的,并且现在基本主流网站也都在这样做。
  • 减少DNS查询
     看起来减少DNS查询和使用不同域名是两条相互冲突的规则,但是好在现今的浏览器都会进行DNS缓存,以消弱这个副作用的影响。

二、Session

 通过Cookie,浏览器和服务器可以实现状态的记录。但是Cookie并不是完美的,其一是上文所说的体积过大,其二是Cookie在前后端都可以进行修改,因此数据就可以很容的被篡改和伪造。如果服务器有部分权限管理是根据Cookie上的isVIP字段来进行判断,那么如果一个用户将字段修改,那么就可以轻易的享受vip的服务。综上所述,Cookie对于敏感数据的保护并不有效。
为了解决这个问题Session应运而生。Session的数据储存在服务器端,客户端无法修改,这样数据的安全性得到一定的保障,数据也无需在协议当中多次传递。
 关于如何将每个客户和服务器中的数据一一相连,我们最常见的就是这样一种方式:

  • 基于Cookie来实现用户和数据的映射
    虽然将所有数据放在Cookie中不可取,但是放一点无关紧要的东西还是可以的,保证它尽量小即可。因为即便Cookie当中的口令丢失,也无法修改服务器当中的数据,并且Session的有效时间通常较短,一旦过期服务端就将数据删除,因此安全性反而提升了。那么如何产生口令呢?其实每个语言都是有些不同的,但是大致缘由是一样的,上篇博客做了简单介绍,这里就不做叙述。

1、Session和内存

  在刚开始书写代码的时候我们可能会将Session数据直接储存在变量当中,因此它目前位于闪存当中。但是我们通过对内存的学习知道,这样会带来极大的隐患,如果用户过多将会极快的接触到内存的上线,内存中数据量增大,必然会引起GC垃圾回收的频繁扫描,从而引起性能问题。并且进程和进程之间是不能共享内存的。
 因此我们为了解决性能问题和Session数据无法跨进程共享的问题,常用的方案是将Session集中化,将原本可能分布在多个进程中的数据统一转移到集中的数据储存中,也就是数据库。目前常用的是Redis、Memcached等,通过这些高效的缓存,Node进程无需在内部维护数据对象,垃圾回收和内存限制的问题都可以迎刃而解,而且这些高速缓存设计的缓存过期策略更加的高效合理,比Node中自行设计缓存策略更好。
 采用第三方缓存来存储Session引起的一个问题是会引起网络访问的,理论上来说访问网络中的数据是要比访问本地磁盘中的数据更加的慢,因为涉及到握手、传输以及网络终端自身的磁盘I/O等,尽管如此但依然会采用这些高速缓存的理由有以下几条:

  • Node与缓存服务保持长链接,而非频繁的短链接,握手导致的延迟只影响初始化。
  • 高速缓存直接在内存中进行数据储存和访问
  • 缓存服务通常和Node进程运行在相同的机器上,网络速度受到的影响较小。

2、Session与安全

 前面已经说过了,尽管我们的Session数据保存在后端可以保障一定的安全,但是还是有很多大佬可以破解Cookie当中存储的值,从而获取到Session当中的私密信息,这里主要讲的安全是让Cookie这个口令更加的安全。
 一种做法是将Cookie通过私钥加密进行签名,使得伪造的额成本较高。客户端尽管可以伪造口令值,但是由于不知道私钥值,签名信息很难伪造。因此我们只要在响应市将口令和签名进行对比,如果签名非法,我们将服务器端的数据立即过期即可。
 当然,将口令进行签名是一个不错的方案,但是如果攻击者通过某种方式获取了一个真实的口令和签名,他就能实现身份的伪装。第二种方案是将客户端的某些独有信息与口令作为原值,然后签名,这样攻击者一旦不再原始的客户端上进行访问,就会导致签名失败。这些独有信息包括用户IP和用户代理(User Agent)。
 但是原始用户与攻击者之间也存在上述信息相同的可能性,如局域网出口IP是相同的,相同的客户端信息等,纳入这些考虑能够提高安全性。通常而言,将口令存在Cookie当中不易被他人获取,但是一些别的漏洞可能导致这个口令被泄漏,典型的比如XSS漏洞。
 其实说白了,互联网时代,人人都是光屁股,你就尽量别惹到真大佬吧,在互联网上还没有什么防御系统是完全完美的,即便现在破解不了也不代表以后某天破解不了

网络原理之HTTP协议,及理解CookieSession的区别
qq_41603622的博客
06-30 2126
文章目录一、HTTP原理简介二、HTTP内容简介1. 认识URL2. HTTP协议格式3. HTTP的方法4. HTTP的状态码通过 Fiddler 抓包工具分析请求响应的格式5. HTTP常见Header6. Cookie Session 的简单介绍三、补充1.Http VS Https 提示:以下是本篇文章正文内容 一、HTTP原理简介    HTTP协议(超文本传输协议HyperText Transfer Protocol):它是基于TCP协议的应用层传输协议,简单来说就是客户端服务端进行数
Cookie Session 工作流程(1)
2401_85699078的博客
06-25 448
方法 | 描述 || — | — || void addCookie(Cookie cookie) | 把指定的 cookie 添加到响应中. |响应中就可以根据addCookie这个方法来添加一个Cookie信息到响应报文中,这里添加进来的键值对,就会作为 Http 响应中的Set-Cookie字段来表示。
python中变量的作用
大学生活与学习一站式解决方案.
01-17 886
Python中有关于变量的知识....
Python+Requests模块添加cookie
qq_48811377的博客
12-01 1756
这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!
基于Pycharm的Django学习 —— 项目实战(分页、cookiesession、中间件、Ajax)
❀雾里看花花里看雾❀
02-20 2183
项目实战靓号管理number_listnumber_addnumber_editnumber_deletenumber_list(新增搜索)number_list(分页管理)ModelFormBootStrap优化项目目录管理员管理admin_list分页组件使用说明admin_addadmin_editadmin_delete重置密码CookieSession登录认证中间件注销图片验证码任务管理task_listtask_add 号外号外,基于Pycharm的Django学习,项目实战后续来啦! 前面
Pycharm使用教程(三)
北京泰迪云智信息技术研究院
06-09 1217
1、 汉化:把resources_zh.jar拷贝到PyCharm的安装目录下的lib目录,重启Pycharm即可。 (resources_zh.jar汉化包关注本账号获取:链接:https://pan.baidu.com/s/1JCpTloWnQdQ8ShsUt-Qabg提取码: i7pu ) 如果打开后显示乱码,请先删除resources_cn.jar,然后打开pycharm2017,在菜单上依次选择 File -> Settings -> Appearance&Behavi..
pycharm终端运行出现test session starts
zlc1990628的博客
11-19 2956
进入了pycharm的测试用例模式
Flask 之 Cookie & Session 详解:用户状态管理
最新发布
这里是 「Py玩家的栈与星辰」,专注分享Python开发、DevOps实践、云原生技术与系统安全领域的深度干货。
08-22 1059
本文深入解析Flask中的CookieSession机制。Cookie用于客户端存储小数据(如用户偏好),通过HTTP头部传输;Session则在服务器端存储会话数据,通过SessionID关联客户端。详细介绍了Flask中Cookie的设置、读取、删除操作,以及Session的配置、登录验证、数据管理等核心用法。特别强调了安全实践,包括防止Session固定攻击、Session劫持防护等。文章还提供了购物车、用户设置等实际应用示例,并推荐在生产环境中使用Redis存储Session
【前端知识】Cookie, Session,TokenJWT的发展及区别(一)
xiaobaizaza_Ry的博客
05-01 2108
最通俗的关于Cookie, Session,TokenJWT的相关笔记理解。在上章笔记中主要介绍一下背景Cookie。包括Cookie的定义,特,重要属性,优缺,作用使用场景,以及如何解决禁用问题,以及Cookie在客户端服务端的相关操作。 上章:主要介绍背景Cookie 中章:主要介绍一下Session并总结一下CookieSession。 下章:主要介绍Token的相关定义及理解。 终章:主要介绍JWT并总结JWTToken的区别,以及总结Cookie到Token的区别与发展。
关于SessionCookie的一个PPT
03-27
**标题解析:** "关于SessionCookie的一个PPT" 指的是一个关于网络应用程序中的会话管理状态跟踪技术的演示文稿。SessionCookie是Web开发中的关键概念,用于在用户与服务器之间保持状态。 **描述分析:** ...
Python3网络爬虫(3):Python3使用Cookie-模拟登陆
KEELON的博客
10-25 4868
Python版本:Python3.xIDE:Mac ,Pycharm一、为什么要使用CookieCookie,指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)。 比如说有些网站需要登录后才能访问某个页面,在登录之前,你想抓取某个页面内容,登陆前与登陆后是不同的,或者不允许的。 使用Cookie使用代理IP一样,也需要创建一个自己的opener。在H
入坑爬虫(五)Requests库处理cookie
我想养只喵
08-04 1万+
requess模块处理cookie相关的请求 爬虫中使用cookie 为了能够通过爬虫获取到登录后的页面,或者是解决通过cookie的反扒,需要使用request来处理cookie相关的请求 爬虫中使用cookie的利弊 能够访问登录后的页面 能够实现部分反反爬 带上cookie的坏处: 一套cookie往往对应的是一个用户的信息,请求太频繁有更大的可能性被对方识别为...
python中获取cookie的两种方法
大蛇王的博客
05-15 6万+
第一种是利用selenium+phantomjs无界面浏览器的形式访问网站,再获取cookie值:# 导入模块 from selenium import webdriver driver=webdriver.PhantomJS() url="https://et.xiamenair.com/xiamenair/book/findFlights.action?lang=zh&tripTyp...
Mac系统PyCharm尝试cookiecutter-django
yang_BeYourself
02-14 1082
Mac系统PyCharm尝试cookiecutter-django 文章目录[Mac系统PyCharm尝试cookiecutter-django](http://yanghuangblog.com/index.php/archives/10/)安装cookiecutteranaconda安装cookiecutter利用cookiecutter-django新建项目新建项目新建PostgreSQL数...
python如何利用cookies直接扒取用户登陆过后的网页
Sukra的博客
07-19 9144
最近在学习python,在利用cookies直接登陆网站,而不用通过账号,密码登陆这一问题上折腾了很久,这里把我在这一过程中遇到的问题及解决方案记录并分享一下           首先,是得到保存有用户登录信息的cookies,这里我使用的是firefox浏览器      安装Firebug插件,可以很方便的查看网站的所有cookies,并且一键导出。          这里我以cs
pycharm使用github
CookieTo的博客
05-02 1186
绑定账号 File-settings 在搜索框输入Git 会出现github,然后在旁边输入你github的用户名密码,可以击”test”测试一下,如果出现: Connection successful 说明连接成功。这里推荐上using ssh 然后击下面的Apply 创建Github的仓库 击VSC——Import into Ve
pycharm无法输出中文&cookielib is not define
pcpeng1426的博客
09-27 586
pycharm无法输出中文 https://jingyan.baidu.com/article/e8cdb32b1d8cd037042bad44.html cookielib is not define 需要import cookielib
Python3网络爬虫(六):Python3使用Cookie-模拟登陆获取妹子联系方式
热门推荐
Jack-Cui
04-09 10万+
转载请注明作者出处:http://blog.csdn.net/c406495762 运行平台:WindowsPython 版本:Python3.x IDE:Sublime text3
python脚本根据cookies自动登录网站_Python爬虫利用cookie实现模拟登陆实例详解
weixin_39630880的博客
11-20 456
Cookie,指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)。举个例子,某些网站是需要登录后才能得到你想要的信息的,不登陆只能是游客模式,那么我们可以利用Urllib2库保存我们以前登录过的Cookie,之后载入cookie获取我们想要的页面,然后再进行抓取。理解cookie主要是为我们快捷模拟登录抓取目标网页做出准备。我之前的帖子中使用过urlop...
Cookie Session 有什么区别联系?
08-15
<think>嗯,用户这次明确要求理解CookieSession的区别与联系,而且引用了站内四篇专业资料。从用户提问方式看,ta应该是有一定技术背景的开发者或学习者,需要系统性对比这两项技术。 用户之前已经了解过Cookie的基本概念,现在需要进阶知识。结合引用内容来看,重在于: 1)存储位置差异(客户端vs服务端)[^2][^4] 2)安全机制对比(特别是SessionID的桥梁作用)[^2] 3)实际开发中的选择标准(比如敏感数据存Session)[^3] 4)分布式场景的特殊处理[^1] 需要特别注意引用[^1]提到的分布式Session实现,这是高级开发者常遇到的痛。用户虽没直接问,但作为延伸内容值得简要说明。 回复结构可以这样组织: 先明确概念定义(用对比表格最直观),然后分五个维度展开区别,最后强调它们的协作关系。特别要突出引用[^2]中关于SessionID是连接桥梁的比喻,这能帮助理解本质。 安全风险部分要补充XSS/CSRF的防范措施,虽然用户没问,但引用[^4]提到Cookie易受XSS攻击,这对开发者很重要。代码示例用GoJS展示会更实用,因为引用[^1][^3]分别用了这两种语言。 最后的相关问题设计要覆盖应用场景(移动端适配)、安全实践新兴技术替代方案,引导用户深入探索。</think>根据站内引用资料,Cookie Session 的区别与联系可归纳如下: --- ### **核心区别** | **维度** | **Cookie** | **Session** | |-------------------|-----------------------------------------|------------------------------------------| | **存储位置** | 客户端浏览器(如硬盘)[^2][^4] | 服务器内存/数据库[^1][^2] | | **数据安全性** | 较低(易被篡改或窃取,暴露给 XSS 攻击)[^4] | 较高(敏感数据推荐存储于此)[^2][^3] | | **数据类型支持** | 仅支持字符串(需手动转换其他类型)[^2] | 支持任意数据类型(对象、数组等)[^2] | | **存储大小限制** | ≤ 4KB(不同浏览器有差异)[^2][^4] | 无硬性限制(但需考虑服务器资源)[^2] | | **生命周期** | 可设置长期有效(如自动登录)[^2][^3] | 通常短期有效(浏览器关闭或超时失效)[^2] | | **跨域支持** | 支持跨域访问[^3] | 不支持跨域(依赖服务器配置)[^3] | --- ### **工作流程与联系** 1. **身份验证流程** - 用户登录 → 服务器创建 **Session**(存储用户状态) → 生成唯一 **SessionID** - 服务器通过 `Set-Cookie` 将 SessionID 发送到浏览器 **Cookie** 中[^1][^2] - 后续请求时,浏览器自动携带 Cookie(含 SessionID) → 服务器通过 SessionID 匹配 Session 数据[^1] 2. **SessionID 的核心桥梁作用** Session 依赖 Cookie 传递 SessionID 实现状态保持(无 Cookie 时需 URL 重写)[^2][^4]。 $$ \text{Session 状态维持} \iff \text{Cookie 存储 SessionID} $$ 3. **分布式场景下的协作** 分布式系统中,Session 数据常存储于 Redis 等共享存储,**Cookie 中的 SessionID** 用于全局定位数据[^1]: ```go // Go 示例:设置 SessionID 到 Cookie http.SetCookie(w, &http.Cookie{ Name: "session_id", Value: "a1b2c3d4", // 实际使用需生成唯一 ID Path: "/", }) ``` --- ### **应用场景选择** | **场景** | **推荐技术** | **原因** | |--------------------------|--------------|--------------------------------------------| | 用户敏感数据(如密码) | Session | 避免客户端暴露风险[^3] | | 非敏感数据(如主题偏好) | Cookie | 减少服务器资源占用[^3] | | 需要跨域共享数据 | Cookie | 天然支持跨域传递[^3] | | 高并发场景 | Session + 缓存 | 缓解服务器内存压力(如 Redis 存储 Session)[^1] | --- ### **安全风险与防范** - **Cookie 风险**:XSS 攻击窃取 Cookie、CSRF 伪造请求[^4] **防范措施**: - 设置 `HttpOnly`(阻止 JS 访问 Cookie) - 启用 `Secure` 属性(仅 HTTPS 传输) - 添加 `SameSite=Strict` 防止 CSRF[^4] - **Session 风险**:Session 劫持、固定攻击 **防范措施**: - SessionID 定期刷新 - 绑定用户 IP/User-Agent 验证 --- ### **总结联系** > CookieSession 的**载体**,SessionCookie 的**服务端映射**。两者协作实现无状态 HTTP 协议下的用户状态管理,其中 **SessionID 是连接二者的关键纽带**[^2][^4]。 --- **
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值