什么是cookie?
通过服务器返回数据后,通过:Set-Cookie设置保存在浏览器里的内容。浏览器在保存了这个内容之后,下一次在同域里的请求当中带上这个Cookie。这样就可以实现在这次访问网站的会话中,可以通过Cookie一直在传输的内容来保证我们返回的数据是这个用户的。
8189D6AA-FF8D-4BEB-9656-17FEC7F5F57C.png
屏幕快照 2018-07-13 上午3.31.02.png
屏幕快照 2018-07-13 上午3.33.10.png
cookie属性
- max-age 和 expires 设置过期时间
- Secure 只在https的时候发送
- httpOnly无法通过js访问,浏览器中还是有的。
安全性,比如csrs攻击,会通过在网页注入脚本,或通过url来引导用户去给攻击者的服务器发送用户自己的,这样他就能拿到这个这个cookie,从而访问我们网站中保存的用户的数据。禁止重要的数据通过JS访问,是保护用户数据安全重要的一步。
cookie时效
- 如果没有设置时间,浏览器关闭失效。
- 'Set-cookie': ['id=123; max-age=30', 'name=lin'] : id=123->
30s后失效
设置test.com以及test.com的所有二级域名享受到cookie
5b2bb4300001195019201080-156-88.jpg
session:
Cookie保存session,经常做的就是把用户登录之后的ID,或者session的key设置到cookie里面。能够保证定位到用户,就是session实现的方案。
网友评论