Cookie详解
2016-05-24 20:52
211 查看
众所周知HTTP协议是面向连接,无状态的,那么如果服务器需要确认用户的身份怎么办呢,总不能每次请求都登录一次吧,所以cookie就起到了维护应用状态的作用。
浏览器每次向服务器发送请求时,都会带上cookie,以便服务器确认用户身份。
通常,cookie是和session一起使用的,由于如果直接在cookie存放用户的身份信息是不安全的,很容易被人恶意窃取,所以一般存储在cookie中的是sessionid,cookie携带着这个id传到服务器,服务器根据id去寻找对应的session存储区域,查找用户信息。
cookie主要由8部分组成:name value domain path expires/max-age size http secure
name和value就是对应数据的键值对。
domain是数据的所属域名,通过这个属性可以限制不同域名的网页对cookie的访问。
path规定了域名下可以访问这个cookie的路径,对应着url中的path,如果url中的path为“/”,那么这一域名下的cookie都可访问。
expires/max-age是cookie的过期时间,如果没有规定,那么在会话消失之后,这个cookie就会被销毁,对应值为Session
size对应着数据的大小
http表示这条cookie只有服务器端才能操作,客户端无法获取,这样可以防范XSS攻击。
![](http://img.blog.csdn.net/20160524204344068?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center)
浏览器向服务器发送请求时,cookie的形式为name1=value1;name2=value2;name3.......
那么,如果cookie被浏览器禁用了怎么办呢?还能确认用户身份吗?
答案是:可以。
方法1:url重写。
通俗地讲,就是把sessionid写到请求的url的后边,比如:
http://host:port/path;jsessionid=ByOK3vjFD75a12312312s8czxc8897xz9
方法2:表单隐藏字段
就是服务器会自动修改表单,添加一个隐藏字段,以便在表单提交时能够把session id传递回服务器。比如:<form name="testform" action="/xxx">
<input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764">
<input type="text">
</form>
浏览器每次向服务器发送请求时,都会带上cookie,以便服务器确认用户身份。
通常,cookie是和session一起使用的,由于如果直接在cookie存放用户的身份信息是不安全的,很容易被人恶意窃取,所以一般存储在cookie中的是sessionid,cookie携带着这个id传到服务器,服务器根据id去寻找对应的session存储区域,查找用户信息。
cookie主要由8部分组成:name value domain path expires/max-age size http secure
name和value就是对应数据的键值对。
domain是数据的所属域名,通过这个属性可以限制不同域名的网页对cookie的访问。
path规定了域名下可以访问这个cookie的路径,对应着url中的path,如果url中的path为“/”,那么这一域名下的cookie都可访问。
expires/max-age是cookie的过期时间,如果没有规定,那么在会话消失之后,这个cookie就会被销毁,对应值为Session
size对应着数据的大小
http表示这条cookie只有服务器端才能操作,客户端无法获取,这样可以防范XSS攻击。
浏览器向服务器发送请求时,cookie的形式为name1=value1;name2=value2;name3.......
那么,如果cookie被浏览器禁用了怎么办呢?还能确认用户身份吗?
答案是:可以。
方法1:url重写。
通俗地讲,就是把sessionid写到请求的url的后边,比如:
http://host:port/path;jsessionid=ByOK3vjFD75a12312312s8czxc8897xz9
方法2:表单隐藏字段
就是服务器会自动修改表单,添加一个隐藏字段,以便在表单提交时能够把session id传递回服务器。比如:<form name="testform" action="/xxx">
<input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764">
<input type="text">
</form>
相关文章推荐
- Poj 1856 Sea Battle【Dfs+思维】
- ZOJ 3819 Average Score
- SDAU练习三1018
- 安卓手机摄像头变身网络摄像头IP webcame pro V1.10
- 【软件工程】 文档 - 银行业务管理 - 面向对象分析与设计
- POJ 2387Til the Cows Come Home
- android activity 属性记录
- 第6次c++作业
- 冲刺 02
- n^n的末位数字(快速幂)
- 《图解HTTP》学习笔记(四)-返回结果的HTTP状态码
- ubuntu下使用mutt+msmtp发送邮件
- 局域网中抓到NBNS数据包
- 毕设系列—客户端:Vitamio框架开发(1)初次安装及配置
- 第97课: 使用Spark Streaming+Spark SQL+mysql 实现在线动态计算出特定时间窗口下的不同种类商品中的热门商品排名(详细内幕版本)
- 用C++实现一个哈希桶(插入,删除,寻找)
- c++ 中的slipt实现
- 第一个Java应用
- node.js实现微博系统在express3.0+版本下的实现——所遇问题
- Kernel Methods (4) Kernel SVM