正确使用 cookie 的 path

最新推荐文章于 2025-09-16 09:23:06 发布
转载 最新推荐文章于 2025-09-16 09:23:06 发布 · 840 阅读 · 1
文章标签:

#path #浏览器

本文详细介绍了cookie的路径属性path,包括其使用规范、大小写敏感性、不可读性及权限继承性等内容,并提供了具体的示例代码。

cookie 有路径--path,表示哪些路径下的文件有权限读取该 cookie。

path 应该以 "/" 结尾,同名 cookie,不同 path,属不同的 cookie

document.cookie = "N1=1; path=/path/";
document.cookie = "N1=2; path=/path";
document.cookie = "N1=3; path=path/";

如上代码,前两句使用的是绝对路径,即相对于站点根目录的网页目录,第三句使用的是相对路径,相对于当前目录的。

第一句和第二句在于结尾不同,虽然他们所表达的权限相同,但是由于 path 字符串不同,会形成两个同名的 cookie,容易造成混乱,我们建议不要使用第二句这种格式,因为系统默认也是以 "/" 结尾的。

所以如上述是三个 cookie,之间不会相互覆盖。

path 属性值有大小写之分,应与浏览器中的地址栏的输入一致

document.cookie = "N1=1; path=/path/";
document.cookie = "N1=2; path=/paTH/";

这是两个不同的 cookie,因为 path 属性值大小写不同,如果我们在地址栏输入的是 path,那么就读取第一个 N1,如果我们输入的是 paTH,那么就读取第二个 N1

path 不可读

同 expires 一样,path 只可写,不可读。

path 不可更改

同 expires 不一样,如果我们试图更改 path,那么实际上我们是另外写了一个 cookie,而不是更改了 path 值。

path 权限有继承性

假如指定了 /test/ 目录有权限读取某 cookie,那么 /test/ 之下的目录 /test/t/ 也有权限读取该 cookie。

xuchanghao
关注
前端开发:Cookies 的 Path 属性使用指南
AI架构全栈开发实战笔记
07-21 1022
本文旨在系统讲解CookiePath属性的工作原理,帮助开发者理解如何通过路径控制实现数据隔离、权限管理和性能优化。内容涵盖从基础原理到实战应用的全链路知识。通过储物柜比喻理解核心概念解析路径匹配的算法原理电商网站实际案例演示安全配置最佳实践Cookie:存储在用户浏览器中的小型文本数据Path属性:控制Cookie在哪些URL路径下可见作用域:Cookie生效的域名+路径范围Path属性是Cookie作用域的控制阀门精确的路径规划能提升安全性和可维护性。
【SpringBoot】21、SpringBoot中使用Cookie实现记住登录
热门推荐
Asurplus
06-28 23万+
最近在做项目,甲方提出每次登录都要输入密码,会很麻烦,要求实现一个记住登录状态的功能,于是便使用Cookie实现该功能 一、Cookie 简介 Cookie,一种储存在用户本地终端上的数据,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。 其实Cookie就是一个键和一个值构成的,随着服务器端的响应发送给客户端浏览器。然后客户端浏览器会把Cookie保存起来,当
Cookie 路径 (Path) 属性详解
weixin_51288065的博客
09-16 1254
Cookie 路径 (Path) 属性详解
copy一篇文章,主要看看 cookiepath 和 domain
weixin_30814319的博客
02-02 436
Copy 过来的,转载,放在这里作为自己的一个收藏吧:)什么是Cookies?你会问,什么是cookies呢? cookie浏览器保存在用户计算机上的少量数据。它与特定的WEB页或WEB站点关联起来,自动地在WEB浏览器和WEB服务器之间传递。比如,如果你运行的是Windows操作系统,使用Internet Explorer上网,那么你会发现在你的“Windows”目录下面有一个子目...
cookie path
weixin_34163553的博客
11-18 167
以前使用cookie的时候 没有在意path的问题。这次公司商城实现了静态化的功能,多了2级目录。导致了我在商品详情页面设置好的cookiepath为/good/商品ID/)在店铺首页竟然访问不到(店铺首页的path为'/store/')。cookie的名称都是一致的。唯一不同的只有path。在商品详情页设置cookie的时候吧path设置成‘/’,这样修改之后就可以正常的在店铺首页取到设置好的...
cookiepath和domain属性解析
v5browser
11-27 333
1.domain表示的是cookie所在的域,默认为请求的地址,如网址为www.test.com/test/test.aspx,那么domain默认为www.test.com。而跨域访问,如域A为t1.test.com,域B为t2.test.com,那么在域A生产一个令域A和域B都能访问的cookie就要将该cookie的domain设置为.test.com;如果要在域A生产一个令域A不能访问而域...
cookie中的path与domain属性详解
09-04
浏览器会将具有相同`domain`和`path`的Cookie存储在一个文件中,并使用`*`作为分隔符。这意味着,尽管每个Cookie可能有独特的名称和值,但在存储时,它们会被视为一个集合。 4. 多键值对的Cookie: 通常,Cookie...
浅析Cookie中的Path与domain
09-04
了解并正确使用CookiePath、Domain、Secure和Expires属性,对于构建安全、高效、功能完善的Web应用程序至关重要。在设计Cookie策略时,需要考虑到用户体验、安全性、隐私保护以及跨域需求,以达到最佳效果。同时,...
JavaScript使用cookie
10-31
### JavaScript 使用 Cookie 的深入解析 #### 一、Cookie 概述及应用场景 在现代Web开发中,**Cookie** 是一种非常重要的技术,它允许开发者...开发者应当了解其原理并正确使用,以实现更加安全和高效的Web应用程序。
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly
11-20
在服务器中的项目中,如果 Cookie 中的路径属性没有被正确设置,可能会泄露项目路径,导致外部攻击。例如,在某些 Web 应用程序中,如果 Cookie 中的路径属性设置为当前项目的路径,那么攻击者可以通过分析 Cookie ...
cookie的路径
李昆鹏的博客
07-30 2万+
------------------------------- cookie的路径------------------------------------- Cookie的路径 Cookie还有一个path属性,可以通过Cookie#setPath(String)方法来设置。你可以使用HttpWatch查看响应中的Set-Cookie中是否存在路径。下面是通过FireFox查看Cookie信息...
Cookiepath总结
qq_42861526的博客
11-17 1万+
一、Cookie中的path cookie中的pathcookie生效的范围,一般场景下cookie是服务器返回给客户端的一段数据,并且在该cookie的作用域内,每次请求都会在请求头中自动带上该cookie。而path就是这个cookie的作用域范围。 /fileUp/userLogin下创建的cookie默认范围是/fileUp/**。此时请求/fileUp/userLogin/aa会带上该cookie,但访问/fileUp/aa则不会。 二、当我们使用默认的pathcookie的默认path是根
浅析cookiepath
a7442358的专栏
12-21 2196
浅析cookiepath
会话对象 Cookie 四、Cookie的路径
best_virtuoso的博客
02-23 1068
1.Cookiepath属性Cookie还有一个path属性,可以通过Cookie#setPath(String)方法来设置。你可以使用HttpWatch查看响应中的Set-Cookie中是否存在路径。下面是通过Chrome查看Cookie信息。也就是说,就算你不设置CookiepathCookie也是有路径的。这个路径就是请求的路径。时,服务器响应了一个Cookie,那么这个Cookie的默认路径就是/cookie_demo。
Cookie 有效路径 Path设置
qq_45554909的博客
05-29 2837
Cookiepath 属性可以有效的过滤哪些 Cookie 可以发送给服务器。哪些不发。 path 属性是通过请求的地址来进行有效的过滤。 CookieA path=/工程路径 CookieB path=/工程路径/abc 请求地址如下: http://ip:port/工程路径/a.html CookieA 发送 CookieB 不发送 http://ip:port/工程路径/abc/a.html CookieA 发送 CookieB 发送 servlet程序: protected void
1019javascript学习资料的积累
yuqiangyuqiang的专栏
10-19 715
1.如何取得一个长字符串中出现字符最多的次数和该字母代码:var str ="adadfdfseffserfefsefseeffffftsdg"; //命名一个变量放置给出的字符串var maxLength = 0; //命名一个变量放置字母出现的最高次数并初始化为0var result = ; //命名一个变量放置结果输入while( str != ){ //循环迭代开始,
同源策略及cookie中的path
工作学习笔记
06-27 1386
【代码】浏览器同源策略。
cookie设置path
最新发布
10-15
<think>嗯,用户这次聚焦在cookiepath属性设置上,看来是遇到了具体的开发需求。此前用户询问过cookie的通用操作,这次明显更深入了,可能正在处理多路径下的身份验证问题。 技术层面需要拆解三个核心点:设置方法(前端/后端)、路径作用域的逻辑、常见陷阱。尤其要注意浏览器同源策略中路径的微妙之处——比如https://example.com/app和https://example.com/dashboard两个路径下的cookie隔离场景。 用户虽然没有明说,但提"注意事项"时应该担心的是安全风险。得强调Secure和HttpOnly属性的组合使用,特别是涉及身份凭证时。上次回复被用户认可的引用形式可以复用,这次补充OWASP的相关建议。 突然想到个易错点:当path=/api时,https://example.com/api/v1和https://example.com/api/v2实际会共享cookie,这点很多开发者会误解。要在示例里演示这种边界情况。 用户用"可能包括"的措辞说明还在探索阶段,可以预判后续问题。比如单页应用部署在子路径时的配置,或者CDN缓存对路径型cookie的影响,这些都可以埋入相关问题的钩子。 </think>使用Cookie的`path`属性可精确控制其在服务器路径下的可见性,以下是关键信息总结: ### 一、设置方法 1. **前端JavaScript** ```javascript document.cookie = "user_token=abc123; path=/admin; Secure; HttpOnly"; ``` - `/admin`:仅该路径及子路径可访问(如`/admin/dashboard`) - `Secure`:仅HTTPS传输 - `HttpOnly`:禁止JavaScript访问 2. **后端示例(Python Flask)** ```python resp = make_response("Login success") resp.set_cookie("session_id", "xyz789", path="/app", secure=True, httponly=True) ``` ### 二、核心作用场景 1. **路径隔离** - 路径`/shop`的Cookie不会发送到`/blog` - 避免不同模块的Cookie冲突(如后台`/admin`与用户`/home`) 2. **安全限制** - 敏感Cookie(如登录态)限定在`/account`路径,降低XSS攻击暴露风险[^1] 3. **多应用托管** 同一域名托管多个应用时(如`/app1`和`/app2`),通过Path隔离Cookie ### 三、关键注意事项 1. **路径匹配规则** - 设`path=/news`时: ✅ 匹配:`/news/latest`、`/news/2023` ❌ 不匹配:`/blog`、根路径`/` 2. **优先级冲突** - 同名Cookie按**最长路径优先** ```http Set-Cookie: cart_id=A; path=/ Set-Cookie: cart_id=B; path=/shop ``` - 访问`/shop`时:使用`cart_id=B` - 访问`/blog`时:使用`cart_id=A` 3. **浏览器差异** - Chrome/Firefox:路径区分大小写 (`/Admin ≠ /admin`) - Safari:路径不区分大小写[^2] 4. **删除限制** - 删除Cookie需匹配**相同路径/域名** ```javascript // 无效删除(路径不匹配) document.cookie = "cart_id=; expires=Thu, 01 Jan 1970 00:00:00 GMT"; // 正确删除 document.cookie = "cart_id=; path=/shop; expires=Thu, 01 Jan 1970 00:00:00 GMT"; ``` ### 四、最佳实践 1. **最小权限原则** - 后台管理Cookie设`path=/admin`而非根路径 - 支付模块Cookie限定`path=/checkout` 2. **敏感Cookie加固** ```http Set-Cookie: auth_key=***; path=/; Secure; HttpOnly; SameSite=Lax ``` 3. **路径标准化** - 统一使用小写路径(避免浏览器兼容问题) - 子应用部署时显式声明路径(如`path=/subapp`) > 路径隔离虽提升安全性,但无法替代CSRF防护(仍需同步令牌或SameSite Cookie)[^3]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值