HTTP cookies 详解_茶亦爽的博客-程序员宝宝_https cookies

技术标签: web  http  cookies  

    HTTP cookies,通常又称作"cookies",已经存在了很长时间,但是仍旧没有被予以充分的理解。首要的问题是存在了诸多误区,认为cookies是后门程序或病毒,或压根不知道它是如何工作的。第二个问题是对于cookies缺少一个一致性的接口。尽管存在着这些问题,cookies仍旧在web开发中起着如此重要的作用,以至于如果cookie在没有可替代品出现的情况下消失,我们许多喜欢的Web应用将变得毫无用处。

       cookies的起源

       早期Web开发面临的最大问题之一是如何管理状态。简言之,服务器端没有办法知道两个请求是否来自于同一个浏览器。那时的办法是在请求的页面中插入一个token,并且在下一次请求中将这个token返回(至服务器)。这就需要在form中插入一个包含token的隐藏表单域,或着在URLqurey字符串中传递该token。这两种办法都强调手工操作并且极易出错。

       Lou Montulli,那时是网景通讯的一个雇员,被认为在1994年将“magic cookies”的概念应用到了web通讯中。他意图解决的是web中的购物车,现在所有购物网站都依赖购物车。他的最早的说明文档提供了一些cookies工作原理的基本信息该文档在RFC2109中被规范化(这是所有浏览器实现cookies的参考依据),并且最终逐步形成了REF2965.Montulli最终也被授予了关于cookies的美国专利。网景浏览器在它的第一个版本中就开始支持cookies,并且当前所有web浏览器都支持cookies

       cookie是什么?

       坦白的说,一个cookie就是存储在用户主机浏览器中的一小段文本文件。Cookies是纯文本形式,它们不包含任何可执行代码。一个Web页面或服务器告之浏览器来将这些信息存储并且基于一系列规则在之后的每个请求中都将该信息返回至服务器。Web服务器之后可以利用这些信息来标识用户。多数需要登录的站点通常会在你的认证信息通过后来设置一个cookie,之后只要这个cookie存在并且合法,你就可以自由的浏览这个站点的所有部分。再次,cookie只是包含了数据,就其本身而言并不有害。

       创建cookie

       通过HTTPSet-Cookie消息头,Web服务器可以指定存储一个cookieSet-Cookie消息的格式如下面的字符串(中括号中的部分都是可选的)

1 Set-Cookie:value [ ;expires=date][ ;domain=domain][ ;path=path][ ;secure]

      消息头的第一部分,value部分,通常是一个name=value格式的字符串。事实上,原始手册指示这是应该使用的格式,但是浏览器对cookie的所有值并不会按此格式校验。实际上,你可以指定一个不包含等号的字符串并且它同样会被存储。然而,通常性的使用方式是以name=value的格式(并且多数的接口只支持该格式)来指定cookie的值。

       当一个cookie存在,并且可选条件允许的话,该cookie的值会在接下来的每个请求中被发送至服务器。cookie值被存储在名为CookieHTTP消息头中,并且只包含了cookie的值,其它的选项全部被去除。例如:        

1 Cookie : value

       通过Set-Cookie指定的选项只是应用于浏览器端,一旦选项被设置后便不会被服务器重新取回。cookie的值与Set-Cookie中指定的值是完全一样的字符串;对于这些值不会有更近一步的解析或转码操作。如果在指定的请求中有多个cookies,那么它们会被分号和空格分开,例如:

1 Cookie:value1 ; value2 ; name1=value1

      服务器端框架通常会提供解析cookies的功能,并且通过编程方式获取cookies的值。

      cookie编码(cookie encoding

      对于cookie的值进行编码一直都存在一些困惑。通常的观点是cookie的值必须被URL编码,但是这其实是一个谬误,尽管可以对cookie的值进行URL编码。原始的文档中指示仅有三种类型的字符必须进行编码:分号,逗号,和空格。规范中提到可以利用URL编码,但是并不是必须。RFC没有提及任何的编码。然而,几乎所有的实现方式都对cookie的值进行了一些列的URL编码。对于name=value的格式,namevalue通常都单独进行编码并且不对等号“=”进行编码操作。

      有效期选项(The expires  option

      紧跟cookie值后面的每个选项都以分号和空格分割,并且每个选项都指定cookie何时应该被发送到服务器。第一个选项是expires,其指定了cookie何时不会再被发送到服务器端的,因此该cookie可能会被浏览器删掉。该选项所对应的值是一个格式为Wdy,DD-Mon--YYYY HH:MM:SS GMT的值,例如:

1 Set-Cookie:name=Nicholas;expires=Sat, 02 May 2009 23:38:25 GMT

      在没有expires选项时,cookie的寿命仅限于单一的会话中。浏览器的关闭意味这一次会话的结束,所以会话cookie只存在于浏览器保持打开的状态之下。这就是为什么当你登录到一个web应用时经常看到一个checkbox,询问你是否选择存储你的登录信息:如果你选择是的话,那么一个expires选项会被附加到登录的cookie中。如果expires选项设置了一个过去的时间点,那么这个cookie会被立即删除。

       domain选项(The domain option

      下一个选项是domain,指示cookie将要发送到哪个域或那些域中。默认情况下,domain会被设置为创建该cookie的页面所在的域名。例如本站中的cookiedomain属性的默认值为www.nczonline.comdomain选项被用来扩展cookie值所要发送域的数量。例如:

1 Set-Cookie:name=Nicholas;domain=nczonline.net

       想象诸如Yahoo这样的大型网站都会有许多以name.yahoo.com(例如:my.yahoo.com,finance.yahoo.com,等)为格式的站点。单独的一个cookie可以简单的通过将其domain选项设置为yahoo.com而发送到所有这些站点中。浏览器会对domain的值与请求所要发送至的域名,做一个尾部比较(即从字符串的尾部开始比较),并且在匹配后发送一个Cookie消息头。

      domain设置的值必须是发送Set-Cookie消息头的域名。例如,我无法向google.com发送一个cookie,因为这个产生安全问题。不合法的domain选项只要简单的忽略即可。

        Path选项(The path option

       另一个控制何时发送Cookie消息头的方式是指定path选项。与domain选项相同的是,path指明了在发Cookie消息头之前必须在请求资源中存在一个URL路径。这个比较是通过将path属性值与请求的URL从头开始逐字符串比较完成的。如果字符匹配,则发送Cookie消息头,例如:

1 Set-Cookie:name=Nicholas;path=/blog

       在这个例子中,path选项值会与/blog,/blogrool等等相匹配;任何以/blog开头的选项都是合法的。要注意的是只有在domain选项核实完毕之后才会对path属性进行比较。path属性的默认值是发送Set-Cookie消息头所对应的URL中的path部分。

        secure选项(The  secure  option

      最后一个选项是secure。不像其它选项,该选项只是一个标记并且没有其它的值。一个secure cookie只有当请求是通过SSLHTTPS创建时,才会发送到服务器端。这种cookie的内容意指具有很高的价值并且可能潜在的被破解以纯文本形式传输。例如

1 Set-Cookie:name=Nicholas;secure

      现实中,机密且敏感的信息绝不应该在cookies中存储或传输,因为cookies的整个机制都是原本不安全的。默认情况下,在HTTPS链接上传输的cookies都会被自动添加上secure选项。

        cookie的维护和生命周期(cookie maintenance and lifecycle

       任意数量的选项都可以在单一的cookie中指定,并且这些选项可以以任何顺序存在,例如

1 Set-Cookie:name=Nicholas; domain=nczonline.net; path=/blog

       这个cooke有四个标识符:cookienamedomainpathsecure标记。要想在将来改变这个cookie的值,需要发送另一个具有相同cookie name,domain,pathSet-Cookie消息头。例如:

1 Set-Cooke:name=Greg; domain=nczonline.net; path=/blog

       这将以一个新的值来覆盖原来cookie的值。然而,仅仅只是改变这些选项的某一个也会创建一个完全不同的cookie,例如:

1 Set-Cookie:name=Nicholas; domain=nczonline.net; path=/

        在返回这个消息头后,会存在两个同时拥有“name”的不同的cookie。如果你访问在www.nczonline.net/blog下的一个页面,以下的消息头将被包含进来:

1 Cookie:name=Greg;name=Nicholas

       在这个消息头中存在了两个名为“name”的cookiepath值越详细则cookie越靠前。domain-path越详细则cookie字符串越靠前。假设我在ww.nczonline.net/blog下并且发送了另一个cookie,其设置如下:

1 Set-Cookie:name=Mike

       那么返回的消息头现在则变为:

1 Cookie:name=Mike;name=Greg;name=Nicholas

       由于包含“Mike”的cookie使用了域名(www.nczonline.net)作为其domain值并且以全路径(/blog)作为其path值,则它较其它两个cookie更加详细。

    使用失效日期(using expiration dates

       当cookie创建时包含了失效日期,这个失效日期则关联了以name-domain-path-secure为标识的cookie。要改变一个cookie的失效日期,你必须指定同样的组合。当改变一个cookie的值时,你不必每次都设置失效日期,因为它不是cookie标识信息的组成部分。例如:

1 Set-Cookie:name=Mike;expires=Sat,03 May 2025 17:44:22 GMT

        现在已经设置了cookie的失效日期,所以下次我想要改变cookie的值时,我只需要使用它的名字:

1 Set-Cookie:name=Matt

       在cookie上的失效日期并没有改变,因为cookie的标识符是相同的。实际上,只有你手工的改变cookie的失效日期,否则其失效日期不会改变。这意味着在同一个会话中,一个会话cookie可以变成一个持久化cookie(一个可以在多个会话中存在的),反之则不可。为了要将一个持久化cookie变为一个会话cookie,你必须删除这个持久化cookie,这只要设置它的失效日期为过去某个时间之后再创建一个同名的会话cookie就可以实现。

       需要记得的是失效日期是以浏览器运行的电脑上的系统时间为基准进行核实的。没有任何办法来来验证这个系统时间是否和服务器的时间同步,所以当服务器时间和浏览器所处系统时间存在差异时这样的设置会出现错误。

       cookie自动删除(automatic cookie removal

       cookie会被浏览器自动删除,通常存在以下几种原因:

  • 会话cooke(Session cookie)在会话结束时(浏览器关闭)会被删除
  • 持久化cookiePersistent cookie)在到达失效日期时会被删除
  • 如果浏览器中的cookie限制到达,那么cookies会被删除以为新建cookies创建空间。详见我的另外一篇关于cookies restrictions的博客

       对于任何这些自动删除来说,Cookie管理显得十分重要,因为这些删除都是无意识的。

       Cookie限制条件(Cookie restrictions

       在cookies上存在了诸多限制条件,来阻止cookie滥用并保护浏览器和服务器免受一些负面影响。有两种cookies的限制条件:cookies的属性和cookies的总大小。原始的规范中限定每个域名下不超过20cookies,早期的浏览器都遵循该规范,并且在IE7中有个更近一步的提升。在微软的一次更新中,他们在IE7增加cookies的限制到50个,与此同时Opera限定cookies个数为30.SafariChrome对与每个域名下的cookies个数没有限制。

       发向服务器的所有cookies的最大数量(空间)仍旧维持原始规范中所指出的:4KB。所有超出该限制的cookies会被截掉并且不会发送至服务器。

        Subcookies

       鉴于cookie的数量限制,开发者提出的subcookies的观点来增加cookies的存储量。Subcookies是一些存储在一个cookievalue中的一些name-value对,并且通常与以下格式类似:

1 name=a=b&c=d&e=f&g=h

      这种方式允许在单个cookie中保存多个name-value对,而不会超过浏览器cookie的数量限制。通过这种方式创建cookies的负面影响是,需要自定义解析方式来提取这些值,相比较而言cookies的格式会更为简单。服务器端框架已开始支持subcookies的存储。我编写的YUI Cookie utility,支持在javascript中读/写subcookies

        Javascript中的cookie(cookie In Javascript

       通过Javascript中的document.cookie属性,你可以创建,维护和删除cookies。当要创建cookies时该属性等同于Set-Cookie消息头,而在读取cookie时则等同于Cookie消息头。在创建一个cookie时,你需要使用和Set-Cookie期望格式相同的字符串:

1 document.cookie="name=Nicholas;domain=nczonline.net;path=/";

       设置document.cookie属性的值并不会删除存储在页面中的所有cookies。它只简单的创建或修改字符串中指定的cookies。下次发送一个请求到服务器时,这些cookies(通过document.cookie设置的)会和其它通过Set-Cookie消息头设置的cookies一样发送至服务器。所有这些cookies并没有什么明确的不同之处。

       要使用Javascript提取cookie的值时,只要从document.cookie中读取即可。返回的字符串与Cookie消息头中的字符串格式相同,所以多个cookies会被分号和字符串分割。例如:

1 name1=Greg; name2=Nicholas

        鉴于此,你需要手工解析这个cookie字符串来提取真实的cookie数据。当前已有许多描述利用Javascript来解析cookie的资料,包括我的书,Professional Javascript,所以在这我就不再说明。通常利用已存在的Javascript库操作cookie会更简单,如YUI Cookie utility 来在Javascript中处理cookies而不要手工重新创建这些算法。

        通过访问document.cookie返回的cookies遵循发向服务器的cookies一样的访问规则。要通过Javascript访问cookies,该页面和cookies必须在相同的域中,有相同的path,有相同的安全级别。

       注意:一旦cookies通过Javascript设置后遍不能提取它的选项,所以你将不会知道domainpathexpiration日期secure标记。

        HTTP-Only cookies

       微软的IE6 SP1cookies中引入了一个新的选项:HTTP-only cookies.HTTP-Only背后的意思是告之浏览器该cookie不应该通过Javascriptdocument.cookie属性访问。设计该特征意在提供一个安全措施来帮助阻止通过Javascript发起的跨站脚本攻击(XSS)窃取cookie的行为(我会在另一篇博客中讨论安全问题,本篇如此已足够)。今Firefox2.0.0.5+Opera9.5+,Chrome都支持HTTP-Only cookies3.2版本的Safari仍不支持。

       要创建一个HTTP-Only cookie,只要向你的cookie中添加一个HTTP-Only标记即可:

1 Set-Cookie: name=Nicholas; HttpOnly

       一旦设定这个标记,通过documen.coookie则不能再访问该cookieIE同时更近一步并且不允许通过XMLHttpRequestgetAllResponseHeaders()getResponseHeader()方法访问cookie,然而其它浏览器则允许此行为。Firefox3.0.6修复了该漏洞,然而仍旧有许多浏览器漏洞存在,complete browser support list列出了这些。

      你不能通过JavaScript设置HTTP-only cookies,因为你不能再通过JavaScript读取这些cookies,这是情理之中的事情。

      总结(conclusion

      为了高效的利用cookies,仍旧有许多要了解和弄明白的东西。对于一项创建于十多年前但仍旧如最初实现的那样被使用至今的技术来说,这是件多不可思议的事。本篇只是提供了一些每个人都应该知道的关于浏览器cookies的基本指导,但无论如何,也不是一个完整的参考。对于今天的web来说Cookies仍旧起着非常重要的作用,并且不恰当的管理cookies会导致各种安全性的问题,从最糟糕的用户体验到安全漏洞。我希望这篇手册能够激起一些关于cookies的不可思议的亮点。

     写在后面的:

     该文章是2009年的,到现在可能已经算一篇比较老的文章,但是文章中关于cookies的讲解十分详细,最近在学习cookies时,读到该文章,觉得值得大家一读,同时也作为自己的参考吧,所以将原文翻译为中文。文中较为详细的讲解了关于cookies的起源,所要解决的问题,以及cookies的本身的属性和每个属性的作用,以及相关浏览器对于cookies的实现情况和延伸情况,正如作者所表达的那样,cookies作为一项十几年前创建却一直沿用至今的技术,值得每个开发者思考并了解和弄明白关于cookies的一些基本信息和原理,译文中尽量保证还原原文本意,但水平有限,一些语句翻译的比较生涩,建议和原文对比阅读,效果可能会比较好一点。

    关于作者: Nicholas C. Zakas,资深前端工程师,曾在yahoo工作近五年,并担任前端开发技术领导,他的著作有《javascript 高级程序设计》是一本高质量的前端技术著作。

    注:原文链接转载时请保存原作者链接。

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lijing198997/article/details/9378047

智能推荐

如何在Linux中使用 Truncate 命令_Linux资源站的博客-程序员宝宝

导读 Truncate命令通常用于将文件缩小或扩展到指定的大小。如果文件大于指定的大小,则会丢失额外的数据。如果文件较短,则会对其进行扩展,并且扩展部分的读数为零字节。 系统环境Centos7安装通常操作系统会安装truncate命令,该命令在coreutils安装包里面,如果没有安装可以使用下面命令安装:[[email protected] ~]# yum provides truncateLoaded plugins: fastestmirror, product-id, sea

android fragement报nullexcption错误_xiangzhihong8的博客-程序员宝宝_android null exceprtion

,这题目起的够骚情了,原创傲慢的上校哦,转载请标明:http://blog.csdn.net/aomandeshangxiao/article/details/7753421其实有些方法也是从网上找来的,拿来主义,共同分享下(Fragment其他资料:android之Fragment(官网资料翻译))。第一个错误:FragmentManagerImpl.saveFrag

gurobi之python调用实例_Gurobi在Python中建模的使用手册之添加变量_weixin_39612058的博客-程序员宝宝

Gurobi添加变量addVar()和addVars()addVar() 一次增加一个变量addVars() 一次增加多个变量addVar()命令行:addVar ( lb=0.0, ub=GRB.INFINITY, obj=0.0, vtype=GRB.CONTINUOUS, name=" ", column=None )lb (可自行选择设置): 决策变量下界ub (可自行选择设置): 决策..._1671465600

Silverlight for Windows Embedded(网络摘抄_springdia的博客-程序员宝宝_sysgen_physicsengine

Silverlight for Windows Embedded的组件位于Core OS/CEBASE/Shell and User Interface/User Interface/目录下的Silverlight for Windows Embedded,对应的SYSGEN是SYSGEN_XAML_RUNTIME。 <br />手势识别Gesture的支持离得不远,位于 Core OS/CEBASE/Shell and User Interface/User Interface/Gesture目录下的Ge

Zabbix 监控指定端口_chongke5244的博客-程序员宝宝

Zabbix 监控指定端口 2018年10月14日 14:46:50肓己阅读数 2006更多 分类专栏:教程记录 版权声明:本文为博主原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/ba...

随便推点

python字符切片操作_Python字符串切片操作知识详解_Dewey Frank的博客-程序员宝宝

一:取字符串中第几个字符print “Hello”[0] 表示输出字符串中第一个字符print “Hello”[-1] 表示输出字符串中最后一个字符二:字符串分割print “Hello”[1:3]#第一个参数表示原来字符串中的下表#第二个阐述表示分割后剩下的字符串的第一个字符 在 原来字符串中的下标这句话说得有点啰嗦,直接看输出结果:el三:几种特殊情况(1)print “Hello”[:3] ...

Python批量采集商品数据并使用多线程(含完整源码)_魔王不会哭的博客-程序员宝宝_python 采集源码

前言嗨喽,大家好,这里是魔王~本次目的:Python批量采集商品数据知识点:爬虫基本流程非结构化数据解析csv数据保存线程池的使用开发环境:python 3.8pycharmrequests &gt;&gt;&gt; pip install requestsparsel &gt;&gt;&gt; pip install parsel网站思路分析:找到数据来源 https://www.amazon.cn/s?rh=n%3A106200071&amp;fs=true&a

SQLserver客户端链接数据库引擎_乐在‘奇’中的博客-程序员宝宝_sqlserver连接到数据库引擎

环境2012版本第一步:打开SQLserver客户端,如图第二步:进入SQLserver客户端后,在左上角有一个“连接”两个字点击选择数据库引擎,如图第三步:点击后跳转一个页面,如图第四步:服务器名称填写的是jdbc连接数据库的IP,身份验证按需求选择,我选的是SQL身份验证,登录名和密码是jdbc连接数据库的用户名和密码,到此如果RPZ没有问题,连接成功,连接失败,请去查看RPZ...

mysql sql timestamp_TIMESTAMP类型字段在SQL Server和MySQL中的含义和使用_邹志渭的博客-程序员宝宝

公众号上转的满天飞的一篇文章,MySQL优化相关的,无意中瞄到一句“尽量使用TIMESTAMP而非DATETIME”,之前对TIMESTAMP也不太熟悉,很少使用,于是查了一下两者的区别。其实,不管在SQL Server中还是MySQL中,“尽量使用TIMESTAMP而非DATETIME”都是有问题的。在SQL Server中的TIMESTAMPSQL Server中,TIMESTAMP是ROWV...

技术经验分享——给还在迷茫中的程序猿_yedezhanghao的博客-程序员宝宝_程序员技术分享讲什么

写这篇分享的初衷:我想把我自己的一些经验分享给大家,希望新人们能少走一些弯路。这篇文章的由来:2011/11/24 团队内部 求职经验分享 整理后所得。—————————————我是分割线—————————————————我的求职结果:新太实习offer,淘宝实习offer腾讯offer,深信服offer—

springMVC 拦截器[email protected]红@旗下的小兵的博客-程序员宝宝

拦截器类似于Filter过滤器,它是springMVC特有的,它可以预处理和后处理,我们可以定义一些拦截器来实现特定的业务。过滤器与拦截器本质区别:(1)拦截器时AOP思想的具体应用(一个横切面,直接切进请求响应中去)。(2)拦截器时spring MVC特有的。(3)拦截器只会拦截 访问控制器的方法,如果访问静态资源如:.jsp/html/css/image/js 时,它不会去拦截,而Filter过滤器无论什么都会去拦截。具体实现,需要实现HandlerInterceptor 接口(1)p.

推荐文章

热门文章

相关标签