zoukankan      html  css  js  c++  java
  • 理解cookies

    理解cookies

    ​ 对于一个web开发者来说,了解基本的http协议是必不可少的,只有基础扎的牢,才能在使用的时候游刃有余。

    对于学习我一直都是抱着刨根问底的态度,有人说学习一个东西很简单,有人说学习一个东西很难,恰好我属于后者,在我的大脑里面,学习与使用是两个不同的层次,学习应该是包涵使用的。
    

    (文章开头就说这么废话)

    这篇文章的主题是cookies,下面我来谈谈我的对cookies的认识。
    

    1. 什么是cookies

    cookies是http协议的一部分,它主要用来存储一些很少的数据,这些数据可以往来于客户端与服务器之间。
    

    2. cookies存在的意义

    为什么会有cookies这种东西存在,这要从http的特性谈起,起初http是一个无状态的协议(当然现在也是无状态的协议),之所以无状态是因为http是基于tcp的上传应用协议,它的一个主要特点就是用完即放,也就是客户端发起请求、服务器相应后tcp连接就断开了,这种模式决定了是http无法保存状态。
    
    协议本身就是一种约定,为相同的场景约定出来一套规范,为未来可能的场景预测出来一套规范。
    
    那么有了cookies后http就变得有状态了,可以说cookies是对http的扩展或者增强,比较常用的比如:保存用户的登陆状态。虽然是对http的一种增强,但是也引入了一些安全问题,后面会谈到具体的安全隐患。
    
    cookies是一种古老的技术,算然现在的浏览器提供了其它本地存储技术,但还是不能完全替代cookies,因为cookies是一种可以被服务器端控制的客户端存储技术,而无需我们用javascript写额外的存储代码。
    

    3.如何使用cookies

    cookies中定义了几个关键属性来保证cookies的正常工作。
    
    • Expires、Max-Age:

      • 如果在不设定该值时为【会话期cookie】也就是说当浏览器关闭的时候cookie失效,
      • 持久cookie,设置该值为一个固定的日期,在这个日期之前cookie会一直有效
      • Max-Age的优先级高于Expires,如果设置了Max-Age则Expires无效
    • Domain、Path:

      • Domain用来指定该cookie可以被哪个主机访问,若设置了该值通常包含其子域名;默认为当前文档的主机,不包含子域名。

      • Path:设置可被主机下的哪些路径访问,例如/docs与/docs/会匹配不同的路径,前者包含子路劲,后者仅为当前路径

    • SameSite:

      • 设置在跨站请求时cookie怎么发送,asp.net core中定义了三种模式:lax、none、strict,默认为lax松懈模式。
    • Secure、HttpOnly:

      • Secure设置的cookie要求必须在https协议中才会被发送到服务器(高版本浏览器支持)
      • HttpOnly设置的cookie不允许客户端访问,防止xss攻击

    4. cookies安全

    http中引入cookies虽然解决了状态的问题,但也引入了新的安全问题,如何才能保证cookies不被窃取。在我看来http是无安全可言的,我们能做的很少,我们努力尽量防止客户端被攻破,但也只仅仅是稍微增加了一点破解难度而已。
    

    下面列举两个经常遇到的安全问题:

    • xss攻击

      跨站脚本攻击,通过设置HttpOnly来阻止客户端获取cookies

    • csrf

      跨站请求伪造,被攻击的网站对于敏感的操作增加确认步骤。

      //如果用户恰好登陆example.com,此时如果在同一浏览器的其它站点无意中有以下图片代码,则就会被攻击。
      <img src="http://bank.example.com/withdraw?account=bob&amount=1000000&for=mallory">
      

    参考

  • 相关阅读:
    Xamarin.Forms 开发IOS、Android、UWP应用
    C# 根据路径删除文件或文件夹
    UWP应用程序使用Prism框架构建MVVM
    创建UWP通用应用程序
    初体验uglifyjs压缩JS
    ecarts图与表格切换时,echarts全变形的原因及解决办法
    vue表格绑定数据中的值发生改变时,表格未刷新
    基于pycaffe的网络训练和结果分析(mnist数据集)
    安装python caffe过程中遇到的一些问题以及对应的解决方案
    logistic regression浅析
  • 原文地址:https://www.cnblogs.com/guodf/p/9609404.html
Copyright © 2011-2022 走看看