一文带你看懂cookie

最新推荐文章于 2025-04-26 14:31:40 发布
最新推荐文章于 2025-04-26 14:31:40 发布
阅读量492 收藏 1
点赞数
文章标签: cookie web
原文链接:https://zhuanlan.zhihu.com/p/52091630
版权

在前端面试中,有一个必问的问题:请你谈谈cookie和localStorage有什么区别啊?

localStorage是H5中的一种浏览器本地存储方式,而实际上,cookie本身并不是用来做服务器存储的。但在 localStorage 出现之前,cookie被滥用当做了存储工具,什么数据都放在cookie中,即使这些数据只在页面中使用、而不需要随请求传送到服务端(当然cookie也做了一些限制:大小受限、每个域名下生成的cookie数量受限)。就像CSS中的float,最初被设计出来的初衷,是用于做文字环绕效果的,就是一个图片、一段文字,给图片加上float:left的样式后,就会产生文字环绕图片的效果。但是后来发现float结合<div>,可以实现之前通过<table>实现的网页布局,因此就被“误用于”网页布局了。

那么通过阅读本文,你可以了解:

1.cookie是什么,cookie的属性有哪些,如何设置cookie,cookie的缺点,和session的区别
2.不再混淆cookie和webStorage,简单介绍浏览器的本地存储的两种方式:sessionStorage和localStorage

1.cookie

1.1 cookie是什么

cookie是当你浏览某个网站的时候,由web服务器存储在你的机器硬盘上的一个小的文本文件。它其中记录了你的用户名、密码、浏览的网页、停留的时间等等信息。当你再次来到这个网站时,web服务器会先看看有没有它上次留下来的cookie。如果有的话,会读取cookie中的内容,来判断使用者,并送出相应的网页内容,比如在页面显示欢迎你的标语,或者让你不用输入ID、密码就直接登录等等。

当客户端要发送http请求时,浏览器会先检查下是否有对应的cookie。有的话,则自动地添加在request header中的cookie字段。注意,每一次的http请求时,如果有cookie,浏览器都会自动带上cookie发送给服务端。那么把什么数据放到cookie中就很重要了,因为很多数据并不是每次请求都需要发给服务端,毕竟会增加网络开销,浪费带宽。所以对于那设置“每次请求都要携带的信息(最典型的就是身份认证信息)”就特别适合放在cookie中,其他类型的数据就不适合了。

简单的说就是:

(1) cookie是以小的文本文件形式(即纯文本),完全存在于客户端;cookie保存了登录的凭证,有了它,只需要在下次请求时带着cookie发送,就不必再重新输入用户名、密码等重新登录了。

(2) 是设计用来在服务端客户端进行信息传递的;

这里我简单地画了个图,可以方便理解:

第一次请求时:

第一次请求

下一次请求时:

下一次请求

浏览器会把cookie放到请求头一起提交给服务器,cookie携带了会话ID信息。服务器会根据cookie辨认用户:由于cookie带了会话的ID信息,可以通过cookie找到对应会话,通过判断会话来判断用户状态。

1.2 cookie的属性

在浏览器的控制台中,可以直接输入:document.cookie来查看cookie。cookie是一个由键值对构成的字符串,每个键值对之间是“; ”即一个分号和一个空格隔开。

document.cookie

注意,这个方法只能获取非 HttpOnly 类型的cookie

每个cookie都有一定的属性,如什么时候失效,要发送到哪个域名,哪个路径等等。这些属性是通过cookie选项来设置的,cookie选项包括:expires、domain、path、secure、HttpOnly。在设置任一个cookie时都可以设置相关的这些属性,当然也可以不设置,这时会使用这些属性的默认值。在设置这些属性时,属性之间由一个分号和一个空格隔开。代码示例如下:

"key=name; expires=Sat, 08 Sep 2018 02:26:00 GMT; domain=ppsc.sankuai.com; path=/; secure; HttpOnly"

cookie的属性可以在控制台查看:Application选项,左边选择Storage,最后一个就是cookie,点开即可查看。

  • Expires、Max Age:

Expires选项用来设置“cookie 什么时间内有效”。Expires其实是cookie失效日期,Expires必须是 GMT 格式的时间(可以通过 new Date().toGMTString()或者 new Date().toUTCString() 来获得)。

new Date().toGMTString()或者 new Date().toUTCString()

如expires=Sat, 08 Sep 2018 02:26:00 GMT表示cookie将在2018年9月8日2:26分之后失效。对于失效的cookie浏览器会清空。如果没有设置该选项,这样的cookie称为会话cookie。它存在内存中,当会话结束,也就是浏览器关闭时,cookie消失。

补充:

Expires是 http/1.0协议中的选项,在http/1.1协议中Expires已经由 Max age 选项代替,两者的作用都是限制cookie 的有效时间。Expires的值是一个时间点(cookie失效时刻= Expires),而Max age的值是一个以秒为单位时间段(cookie失效时刻= 创建时刻+ Max age)。 另外, Max age的默认值是 -1(即有效期为 session ); Max age有三种可能值:负数、0、正数。负数:有效期session;0:删除cookie;正数:有效期为创建时刻+ Max age
  • Domain和Path

Domain是域名,Path是路径,两者加起来就构成了 URL,Domain和Path一起来限制 cookie 能被哪些 URL 访问。即请求的URL是Domain或其子域、且URL的路径是Path或子路径,则都可以访问该cookie,例如:

某cookie的 Domain为“baidu.com”, Path为“/ ”,若请求的URL(URL 可以是js/html/img/css资源请求,但不包括 XHR 请求)的域名是“baidu.com”或其子域如“api.baidu.com”、“dev.api.baidu.com”,且 URL 的路径是“/ ”或子路径“/home”、“/home/login”,则都可以访问该cookie。

补充:

发生跨域xhr请求时,即使请求URL的域名和路径都满足 cookie 的 Domain和Path,默认情况下cookie也不会自动被添加到请求头部中。
  • Size

Cookie的大小

  • Secure

Secure选项用来设置cookie只在确保安全的请求中才会发送。当请求是HTTPS或者其他安全协议时,包含 Secure选项的 cookie 才能被发送至服务器。

默认情况下,cookie不会带Secure选项(即为空)。所以默认情况下,不管是HTTPS协议还是HTTP协议的请求,cookie 都会被发送至服务端。但要注意一点,Secure选项只是限定了在安全情况下才可以传输给服务端,但并不代表你不能看到这个 cookie。

补充:

如果想在客户端即网页中通过 js 去设置Secure类型的 cookie,必须保证网页是https协议的。在http协议的网页中是无法设置secure类型cookie的。
  • httpOnly

这个选项用来设置cookie是否能通过 js 去访问。默认情况下,cookie不会带httpOnly选项(即为空),所以默认情况下,客户端是可以通过js代码去访问(包括读取、修改、删除等)这个cookie的。当cookie带httpOnly选项时,客户端则无法通过js代码去访问(包括读取、修改、删除等)这个cookie。

在客户端是不能通过js代码去设置一个httpOnly类型的cookie的,这种类型的cookie只能通过服务端来设置。

可以在浏览器的控制台中看出哪些cookie是httpOnly类型的,HTTP下带绿色对勾的即是,如图:

httponly

只要是httponly类型的,在控制台通过document.cookie是获取不到的,也不能进行修改。

之所以限制客户端去访问cookie,主要还是出于安全的目的。因为如果任何 cookie 都能被客户端通过document.cookie获取,那么假如合法用户的网页受到了XSS攻击,有一段恶意的script脚本插到了网页中,这个script脚本,通过document.cookie读取了用户身份验证相关的 cookie,那么只要原样转发cookie,就可以达到目的了。

1.3 cookie的设置、读取、删除方法

cookie既可以由服务端来设置,也可以由客户端来设置。

1.3.1 服务端设置cookie

前面1.1中介绍过,客户端第一次向服务端请求时,在相应的请求头中就有set-cookie字段,用来标识是哪个用户。

下图我是登录腾讯云的某个页面的响应头截图,可以看到响应头中有两个set-cookie字段,每段对应一个cookie,注意每个cookie放一个set-cookie字段中,不能将多个cookie放在一个set-cookie字段中。具体每个cookie设置了相关的属性:expires、path、httponly,具体属性含义可以结合1.2 cookie的属性来看:

response headers

服务端设置cookie的范围:

服务端可以设置cookie 的所有选项:expires、domain、path、secure、HttpOnly

1.3.2 客户端设置cookie

cookie不像web Storage有setItem,getItem,removeItem,clear等方法,需要自己封装。简单地在浏览器的控制台里输入:

document.cookie="name=lynnshen; age=18"

但发现只添加了第一个cookie:"name=lynnshen",后面的cookie并没有添加进来:

最简单的设置多个cookie的方法就是重复执行document.cookie = "key=name":

document.cookie = "name=lynnshen";
document.cookie = "age=18";

再看控制台:

注意:

当name、domain、path 这3个字段都相同的时候,cookie会被覆盖。

下面是我自己简单封装的设置、读取、删除cookie的方法:

设置cookie:

function setCookie(name,value,iDay){
    var oDate = new Date();
    oDate.setDate(oDate.getDate() + iDay);
    document.cookie = name + "=" + value + ";expires=" + oDate;
}

读取cookie,该方法简单地认为cookie中只有一个“=”,即key=value,如有更多需求可以在此基础上完善:

function getCookie(name){
    //例如cookie是"username=abc; password=123"
    var arr = document.cookie.split('; ');//用“;”和空格来划分cookie
    for(var i = 0 ;i < arr.length ; i++){
        var arr2 = arr[i].split("=");
        if(arr2[0] == name){
            return arr2[1];
        }
    }
    return "";//整个遍历完没找到,就返回空值
}

删除cookie:

function removeCookie(name){
    setCookie(name, "1", -1)//第二个value值随便设个值,第三个值设为-1表示:昨天就过期了,赶紧删除
}

1.4 cookie的缺点

cookie的缺点:

(1) 每个特定域名下的cookie数量有限:

IE6或IE6-(IE6以下版本):最多20个cookie

IE7或IE7+(IE7以上版本):最多50个cookie

FF:最多50个cookie

Opera:最多30个cookie

Chrome和safari没有硬性限制

当超过单个域名限制之后,再设置cookie,浏览器就会清除以前设置的cookie。IE和Opera会清理近期最少使用的cookie,FF会随机清理cookie;

(2) 存储量太小,只有4KB;

(3) 每次HTTP请求都会发送到服务端,影响获取资源的效率;

(4) 需要自己封装获取、设置、删除cookie的方法;

1.5 cookie和session的区别

cookie是存在客户端浏览器上,session会话存在服务器上。会话对象用来存储特定用户会话所需的属性及配置信息。当用户请求来自应用程序的web页时,如果该用户还没有会话,则服务器将自动创建一个会话对象。当会话过期或被放弃后,服务器将终止该会话。cookie和会话需要配合,具体内容参见1.1节。

当cookie失效、session过期时,就需要重新登录了。

2.浏览器本地存储:

2.1 localStorage和sessionStorage

在较高版本的浏览器中,js提供了两种存储方式:sessionStorage和globalStorage。在H5中,用localStorage取代了globalStorage。

sessionStorage用于本地存储一个会话中的数据,这些数据只有在同一个会话中的页面才能访问,并且当会话结束后,数据也随之销毁。所以sessionStorage仅仅是会话级别的存储,而不是一种持久化的本地存储。

localStorage是持久化的本地存储,除非是通过js删除,或者清除浏览器缓存,否则数据是永远不会过期的。

浏览器的支持情况:IE7及以下版本不支持web storage,其他都支持。不过在IE5、IE6、IE7中有个userData,其实也是用于本地存储。这个持久化数据放在缓存中,只有不清理缓存,就会一直存在。

2.2 web storage和cookie的区别

(1) web storages和cookie的作用不同,web storage是用于本地大容量存储数据(web storage的存储量大到5MB);而cookie是用于客户端和服务端间的信息传递;

(2) web storage有setItem、getItem、removeItem、clear等方法,cookie需要我们自己来封装setCookie、getCookie、removeCookie,具体可见1.3节;

3.小结

本文纵向上深度介绍了cookie相关的知识,包括cookie的作用、各个属性的用途、cookie的设置、缺点等等。横向上,将cookie和会话、localStorage做了比较。如有问题,欢迎指正。

Keep the faith
关注
几段代码几行解析教你读懂cookie
qq_38110274的博客
11-23 418
Cookie 什么是Cookie? Cookie 是一些数据, 存储于你电脑上的文本文件中。 当 web 服务器向浏览器发送 web 页面时,在连接关闭后,服务端不会记录用户的信息。Cookie 的作用就是用于解决 “如何记录客户端的用户信息”:当用户访问 web 页面时,他的名字可以记录在 cookie 中。在用户下一次访问该页面时,可以在 cookie 中读取用户访问记录。 它的作用是什么呢?...
一文看懂!CentOS7搭建 Hadoop + HBase + Zookeeper集群
weixin_41663412的博客
03-15 315
个人博客导航页(点击右侧链接即可打开个人博客):大牛你入门技术栈 一、基础环境准备 1、下载安装包(均使用当前最新的稳定版本,截止至2017年05月24日) -- 下载 jdk-8u131 # wget --no-check-certificate --no-cookies --header "Cookie: oraclelicense=accept-securebackup-co...
一文读懂Cookie
Civitasv
04-12 256
cookie是一些数据,存储于你电脑上的文本文件中,当web服务器向浏览器发送web页面时,连接关闭之后,服务端并不会记录用户的信息,此时cookie的作用便是用于解决“如何记录客户端的用户信息”。即让这些信息变得持久化。
全网最通俗易懂的Cookie和Session讲解!看完不会你骂我!
最新发布
2301_79914109的博客
04-26 432
Cookie 像钥匙,Session 像抽屉,两者配合让网站既能 “记住” 你,又能安全高效地处理你的数据
JavaEE 要懂的小事:二、图解 Cookie(小甜饼)
程序员泥瓦匠
06-06 1355
Writer      :BYSocket(泥沙砖瓦浆木匠) 微         博:BYSocket 豆         瓣:BYSocket FaceBook:BYSocket Twitter    :BYSocket 上一篇 图解Http协议 ,这次继续Http家族中的Cookie。泥瓦匠最近看到博客园中一篇好文,如图: 这就是因为浏览器Cooki
一文读懂Cookie&Session知识点
ainstinct的博客
06-06 413
Cookie&SessionCookie什么是Cookie创建:(服务器创建)服务器如何获取cookieCookie值的修改Cookie的生命控制Session什么是Session会话?如何创建Session和获取(id号,是否为新)Session域数据的存取Session生命周期浏览器和Session之间关联的技术内幕 Cookie 什么是Cookie 1.是服务器通知客户端保存键值对的一种技术 2.客户端有了Cookie后,每次请求都发送给服务器 3.每个cookie的大小不能超过4kb 创建:
cookie的理解(详细讲解)
liulang68的博客
08-11 5834
cookie和session的区别就是cookie是客户端(浏览器)产生的东西,session是在服务端去存储的。 Cookie是服务端在HTTP响应中附给浏览器的一个小文本文件,一旦浏览器保存了某个Cookie,在之后的请求和响应中,会将此Cookie来回传递,这样就可以通过Cookie这个载体完成客户端和服务端的数据交互。 Cookie常用的方法 void setMaxAge(int age) 设置Cookie的有效时间,单位为秒 int getMaxAge() 设置Cookie
一文你搞懂 Spring Security
m0_71777195的博客
12-27 2247
编写类,实现PasswordEncoder 接口/*** 凭证匹配器,用于做认证流程的凭证校验使用的类型* 其中有2个核心方法* 1. encode - 把明文密码,加密成密文密码* 2. matches - 校验明文和密文是否匹配* *//*** 加密* @param charSequence 明文字符串* @return*/@Overridetry {return "";}}/*** 密码校验* @param charSequence 明文,页面收集密码。
一文你弄懂传输层协议
帅枫的博客
01-12 520
计算机网络⑤ 一、传输层概述 一、传输层 传输层的功能: 传输层提供进程和进程之间的逻辑通信。(网络层提供主机之间的逻辑通信) 复用和分用 传输层对收到的报文进行差错检测。 只有主机才有传输层 二、传输层的两个协议 传输层有两个好兄弟:大哥TCP和二弟UDP,大哥靠谱,二弟不靠谱。 面向连接的传输控制协议TCP:传送数据之前必须建立连接,数据传送结束后要释放连接。不提供广播或多服务。由于TCP提供可靠的面向连接的传输服务,因此不可避免增加了许多开销:确认、流量控制、计时器及连接管理等
一文读懂】 Http之Cookie Session和Token
zyq8514700的博客
10-21 435
来源引用链接{本文仅用于笔记} 【WHY】Http是一个无状态协议 什么是无状态呢?就是说这一次请求和上一次请求是没有任何关系的,互不认识的,没有关联的。这种无状态的的好处是快速。坏处是假如我们想要把www.zhihu.com/login.html和www.zhihu.com/index.html关联起来,必须使用某些手段和工具。 现在我们来想一个复杂的场景,如在购物网站上买...
第八十五期:一文彻底搞懂cookie和session
歌谣的博客
11-07 744
Web发展史中,我们知道浏览器与服务器间采用的是 http协议,而这种协议是无状态的,所以这就导致了服务器无法知道是谁在浏览网页,所以为了解决这一问题,先后出现了四种技术,分别是隐藏表单域,URL重。 作者:PatrickLee666 为什么需要cookie和session 在Web发展史中,我们知道浏览器与服务器间采用的是 http协议,而这种协议是无状态的,所以这就导致了服务器无法...
原来我一直不懂cookie
weixin_30929295的博客
09-18 161
做前端已经两年了,却很少涉及到cookie方面的开发,也非常少关注cookie方面的知识,所以理解cookie非常浅显, 先说下自己浅显的理解吧: cookie是基于http协议,cookie就是限制性的存储字符串的,我们可以通过document.cookie来存储字符串。 而最近手头上有个项目上涉及到有关于cookie的操作,即登录与退出, 对于这个需求,逻辑很简单 1.登录前的coo...
久久都不明白的cookie
小木Blog
06-19 834
前言 平时很少操作cookie, 对cookie这块有一定的误区, 所以现在来好好学习一下cookie, 其实之前还是看多比较多的关于cookie的文章, 也有觉得好的, 但是感觉还是差了点东西吗但是看了《javaScript权威之南》之后, 就感觉明确多了。 背景 其实关于cookie最早是设计为被服务器所用的, 从最底层来看, 作为http协议的一种扩展实现它。 cookie数据会自动...
四种方法去查看账号cookie
热门推荐
Jum的博客
12-23 1万+
准备材料 1、使用谷歌核心浏览器,例如Chrome、360安全极速等等。 2、某视频网站会员VIP账户 开始教程 1、输入代码 1、在这里使用360安全浏览器,打开某酷主页,登录VIP账户 2、按F12点击console标签页输入document.cookie回车,出现的值就是cookie了 2、f12查询 1、按F12点击Network标签页 按F5刷新页面,点击Network下左侧NAME值为www.youku.com,在默认Headers里面找到COOKIE的项,这里的值就是你的
cookie的作用session都有 且安全性还相对较差 为什么还要使用cookie
tianxingcheng的博客
05-15 795
3. 安全性问题可以通过设置HttpOnly属性和Secure属性来弥补:HttpOnly属性设置后,cookie只能通过http协议传递到服务器,无法通过JavaScript脚本进行读取,这就可以避免cookie被恶意程序利用窃取用户信息。1. 持久化存储:cookie可以将一些信息存储在用户的浏览器中,并且可以设置有效期,在有效期内用户再次访问网站时可以自动读取cookie中的信息,这样可以实现一些业务需求,例如记住用户登录状态等。同时,可以通过设置一些属性来弥补其安全性问题。
会话对象(Session and Cookie)
宠着长岛冰茶吗
10-08 1088
Love is like the moon, when it does not increase, it decreases.
前端面试题 -----浏览器本地存储和Cookie的利弊
奋斗在路上
08-16 2212
前端面试题----关于浏览器本地存储和cookie的利弊
一文你彻底搞懂红黑树
03-03
### 红黑树概念 红黑树是一种特殊的二叉搜索树,具有特定的颜色属性来保持树的近似平衡状态。这种特性使得红黑树能够在插入、删除和查找操作上提供较好的时间复杂度[^1]。 #### 性质描述 每棵红黑树都遵循以下五条基本性质: - 每个节点要么是红色,要么是黑色。 - 根节点总是黑色。 - 所有叶子(NIL节点)都是黑色。(注意这里的叶子指的是外部节点) - 如果一个内部节点是红色,则它的两个孩子节点必须是黑色。(即不存在连续两条红线相连的情况) - 对于任意给定的非叶节点,在该节点到其可达叶子的所有路径上的黑色节点数目相同。 这些规则确保了从根到最近叶子的最大距离不会超过最小距离的一倍以上,从而维持了一种较为均衡的状态[^3]。 ### 插入机制解析 当向红黑树中添加新的键值时,默认情况下新加入的节点会被标记成红色以减少违反上述条件的可能性。然而即便如此仍可能出现冲突情况——比如父级也为红色就违背了第四条原则;这时就需要通过一系列调整动作使整棵树恢复合法形态,主要包括颜色翻转以及左旋/右旋两种方式[^2]。 ```c // 定义RBTree结构体表示整个红黑树, Node代表单个节点. typedef struct RBTreeNode { int key; char color; // 'R' or 'B' struct RBTreeNode *left,*right,*parent; }Node; void insertFixup(Node* root, Node* z){ while (z != root && z->parent->color == RED) { ... } } ``` 此段伪代码展示了如何处理因插入而导致的不平衡状况的一部分逻辑流程,具体细节取决于实际应用场景下的需求设计。 ### 删除算法概览 移除某个指定元素的过程相对更为复杂一些,除了要考虑常规BST中的前驱后继关系外还需特别关注被删去位置处所遗留下来的空缺是否会引起连锁反应进而影响全局稳定性。为此通常采用替换法先找到合适替代品再做进一步修正工作直至完全消除负面影响为止。 ```c Node* treeMinimum(Node* node){ while(node->left!=NULL)node=node->left; return node; } void deleteFixup(RBTree T, Node x){...} ``` 这里给出了一些辅助函数用于支持完整的删除功能实现,其中`treeMinimum()`用来获取某子树中最左侧的那个节点作为候选接替者之一,“deleteFixup()”则负责后续必要的结构调整任务以确保存储结构依然符合预期标准。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值