1.特性
- 前端数据存储
- 后端用SetCookie方法将cookie写到HTTP响应头中(set-cookie:xxxxxx)
- 浏览器根据响应头中的set-cookie值再将cookie写到请求头中(Cookie: xxx)
- cookie没有特定删除方法,只能将有效期设置成过去的时间来删除
- 前端JS可以读写cookie
- 遵循同源策略
2.属性内容
一般包含:域名、有效期、路径、http-only、secure(https)等
3.作用
- 存储已登录用户的登录凭证(一般存sessionID,以防止他人伪造)
- 存储未登录用户的唯一标识(如区分匿名用户a和b)
- 存储其它业务数据和个性化设置(如缓存用户上一次操作的页面)
4.Cookie安全策略
- 加签名防止篡改
- Cookie中的用户信息加密
- http-only
只有HTTP请求能读取cookie,JS是不能读取cookie的,可防止XSS - secure
防止传输过程中被窃听 - same-site
防止CSRF
网友评论