主要内容:
- Cookie认识
- NSHTTPCookie
- 六大特性
1. Cookie认识
我们通过的服务器和客户端进行交互往往是通过https/http请求完成的,而这个协议是无连接的,但有时候我们的业务中需要实现多次请求是有一定关联性的,所以就需要约定一个信息供客户端和服务器端进行识别,这里就是用到了Cookie和Session。
客户端请求时携带上Cookie,服务器端进行识别,识别后就可以进行处理,Cookie中携带的最重要的信息就是SessionID,这个ID就可以查询到服务器端保存的Session,Session中保存了大量的该用户信息,识别后就可以通过这些用户信息对这个请求进行处理。
在WKWebView中,我们能做的就是对Cookie进行处理
作用:
- 会话状态管理(如用户登录状态)
- 个性化设置(如用户自定义设置、主题等)
- 浏览器行为跟踪(如跟踪分析用户行为等)
1.1 过程
客户端在一次给服务器端发送请求时,服务器端会生成一个Cookie返回给给客户端,客户端在下一次请求发送时会携带上该Cookie,这样后续请求就可以使用该Cookie来识别。
- 创建Cookie,当服务器收到HTTP请求时,会创建一个Cookie,并在响应头中添加一个Set-Cookkie的选项,附着上Cookie
- Cookie使用,客户端在收到该Cookie后,在下次发送请求时,就会在Cookie选择中携带上可以匹配的Cookie
- Cookie识别,服务器端在收到客户端的请求后,就会识别Cookie中的SessionID,以此查找Session,查找到后就可以使用Session信息来处理该请求
1.2 Cookie属性认识
Expires:
- 最长有效时间,Cookie可以存活的时间(旧属性)
- 如果没有设置,那么时间就是一个会话期,也就是如果客户端被关掉,则Cookie就会被移除
- 然而,很多Web浏览器支持会话恢复功能,这个功能可以使浏览器保留所有的tab标签,然后在重新打开浏览器的时候将其还原。与此同时,cookie 也会恢复,就跟从来没有关闭浏览器一样。
Max-Age:
- 最大存活时间
- 作用和Expires一样,但是Max-Age是新属性,如果同时存在,则优先使用Max-Age
Domain:
- 该Cookie可被携带的主机名
- 也就是发送请求中如果给该主机发送,那么就可以选择携带该Cookie(还需要判断Path)
- 假如没有指定,那么默认值为当前文档访问地址中的主机部分(但是不包含子域名)
- 与之前的规范不同的是,域名之前的点号会被忽略。
- 假如指定了域名,那么相当于各个子域名也包含在内了。(也就是这里如果写了二级域名,那么二级域名相同的所有请求都可以携带该Cookie)
Path:
- 该Cookie需要被携带的路径
- 也就是发送请求中如果给该地址发送,那么就可以选择使用该Cookie(还需要判断主机)
- 目录的下级目录也满足匹配的条件。(例如,如果 path=/docs,那么 "/docs", "/docs/Web/" 或者 "/docs/Web/HTTP" 都满足匹配的条件)
Secure:
- 一个带有安全属性的 cookie 只有在请求使用SSL和HTTPS协议的时候才会被发送到服务器。
- 也就是说这个Cookie如果设置有Secure,那么这个请求只能是HTTPS协议,否则无法发送
HttpOnly:
- 设置了 HttpOnly 属性的 cookie 不能使用 JavaScript 经由 Document.cookie 属性、XMLHttpRequest 和 Request APIs 进行访问,以防范跨站脚本攻击(XSS (en-US))。
SameSite:
- 允许服务器设定一则 cookie 不随着跨域请求一起发送,这样可以在一定程度上防范跨站请求伪造攻击
2. NSHTTPCookie
2.1 创建Cookie
//使用提供的属性创建并初始化一个HTTP cookie对象。
- (nullable instancetype)initWithProperties:(NSDictionary<NSHTTPCookiePropertyKey, id> *)properties;
//用给定的cookie属性初始化一个HTTP cookie对象。
+ (nullable NSHTTPCookie *)cookieWithProperties:(NSDictionary<NSHTTPCookiePropertyKey, id> *)properties;
为提供的URL创建一个与提供的响应报头字段对应的HTTP cookie数组。
+ cookiesWithResponseHeaderFields:forURL:
2.2 设置Cookie到请求头
//将cookie数组转换为报头字段的字典。
+ (NSDictionary<NSString *, NSString *> *)requestHeaderFieldsWithCookies:(NSArray<NSHTTPCookie *> *)cookies;
2.3 获取Cookie主机属性
@property (readonly, copy) NSString *domain;
@property (readonly, copy) NSString *path;
@property (nullable, readonly, copy) NSArray<NSNumber *> *portList;
2.4 得到Cookie元数据
@property (readonly, copy) NSString *name;
@property (readonly) NSUInteger version;
@property (readonly, copy) NSString *value;
2.5 确定Cookie生命周期
//过期时间
@property (nullable, readonly, copy) NSDate *expiresDate;
//一个布尔值,指示是否应该在会话结束时丢弃cookie(无论过期日期如何)。
@property (readonly, getter=isSessionOnly) BOOL sessionOnly;
2.6 Cookie安全
//一个布尔值,指示是否该cookie应该只发送到HTTP服务器。
@property (readonly, getter=isHTTPOnly) BOOL HTTPOnly;
//一个布尔值,指示是否只能通过安全通道发送cookie。
@property (readonly, getter=isSecure) BOOL secure;
//一个布尔值,指示是否将cookie限制为发送回创建它的同一站点的请求。
@property (nullable, readonly, copy) NSHTTPCookieStringPolicy sameSitePolicy
2.7 访问Cookie属性
//Cookie属性
@property (nullable, readonly, copy) NSDictionary<NSHTTPCookiePropertyKey, id> *properties;
//在cookie属性字典中定义支持键的常量。可直接查找文档
NSHTTPCookiePropertyKey
2.8 获取用户可读的Cookie元数据
//返回接收方的comment
@property (nullable, readonly, copy) NSString *comment;
//返回接收方的comment URL
@property (nullable, readonly, copy) NSURL *commentURL;
3. 六大特性
3.1 Cookie的生命周期
会话期Cookie: 仅作用在会话期,浏览器关闭 后就会被自动删除,会话期Cookie不需要指定Expires或Max-Age部分浏览器提供了恢复会话功能,即使关闭浏览器,会话期Cookie也会被保留下来
持久性Cookie: 生命周期取决于Expires或Max-Age指定的时间(设定的时间只与客户端相关,而不是服务器端)
3.2 限制访问 Cookie
有两种方法可以确保Cookie被安全的发送,并且不会被以外的参与者或脚本访问,Secure属性和HttpOnly属性
Secure属性:
只应通过被 HTTPS 协议加密过的请求发送给服务端,因此可以预防 man-in-the-middle 攻击者的攻击。但即便设置了 Secure 标记,敏感信息也不应该通过 Cookie 传输。因为 Cookie 有其固有的不安全性,Secure 标记也无法提供确实的安全保障。
HttpOnly属性:
JavaScript Document.cookie API 无法访问带有 HttpOnly 属性的cookie,此类 Cookie 仅作用于服务器
例如,持久化服务器端会话的 Cookie 不需要对 JavaScript 可用,而应具有 HttpOnly 属性。
此预防措施有助于缓解跨站点脚本(XSS) (en-US)攻击。
3.3 Cookie 的作用域
Domain 和 Path 标识定义了Cookie的作用域:即允许 哪些请求携带Cookie 。
Domain 属性:
Domain 指定了哪些主机可以接受 Cookie。如果不指定,默认为 origin,不包含子域名。如果指定了Domain,则一般包含子域名。
Path属性:
Path 标识指定了主机下的哪些路径可以接受 Cookie
SameSite attribute:
SameSite Cookie 允许服务器要求某个 cookie 在跨站请求时不会被发送,从而可以阻止跨站请求伪造攻击(CSRF)
- None: 浏览器会在同站请求、跨站请求下继续发送 cookies,不区分大小写。
- Strict: 浏览器将只在访问相同站点时发送 cookie。(在原有 Cookies 的限制条件上的加强,如上文 “Cookie 的作用域” 所述)
- Lax: 与 Strict 类似,但用户从外部站点导航至URL时(例如通过链接)除外。在新版本浏览器中,为默认选项,Same-site cookies 将会为一些跨站子请求保留,如图片加载或者 frames 的调用,但只有当用户从外部站点导航到URL时才会发送。如 link 链接
Cookie prefixes:
对于子域访问的特性,会出现这种情况:子域上的易受攻击的应用程序可以使用 Domain 属性设置 cookie,从而可以访问所有其他子域上的该 cookie。因此cookie 的机制使得服务器无法确认 cookie 是在安全来源上设置的,甚至无法确定 cookie 最初是在哪里设置的。
3.4 安全
Cookie中的信息是可以被访问和修改的,因此具有不安全性,需要设置身份验证/机密机制,并且如果没有设置安全环境时,不能通过Cookie存储、传输敏感信息。
- 使用 HttpOnly 属性可防止通过 JavaScript 访问 cookie 值。
- 用于敏感信息(例如指示身份验证)的 Cookie 的生存期应较短,并且 SameSite 属性设置为Strict 或 Lax。
3.5 会话劫持和XSS
在 Web 应用中,Cookie 常用来标记用户或授权会话。因此,如果 Web 应用的 Cookie 被窃取,可能导致授权用户的会话受到攻击。
常用的窃取 Cookie 的方法有利用社会工程学攻击和利用应用程序漏洞进行 XSS (en-US) 攻击。
HttpOnly 类型的 Cookie 用于阻止了JavaScript 对其的访问性而能在一定程度上缓解此类攻击。
3.6 跨站请求伪造(CSRF)
在本站点发送其他站点的请求,以达到恶意获取请求信息的目的,比如在不安全聊天室或论坛上的一张图片,它实际上是一个给你银行服务器发送提现的请求:当你打开含有了这张图片的 HTML 页面时,如果你之前已经登录了你的银行帐号并且 Cookie 仍然有效。
阻止方法:
- 对用户输入进行过滤来阻止
- 任何敏感操作都需要确认;
- 用于敏感信息的 Cookie 只能拥有较短的生命周期
网友评论