理解cookies
对于一个web开发者来说,了解基本的http协议是必不可少的,只有基础扎的牢,才能在使用的时候游刃有余。
对于学习我一直都是抱着刨根问底的态度,有人说学习一个东西很简单,有人说学习一个东西很难,恰好我属于后者,在我的大脑里面,学习与使用是两个不同的层次,学习应该是包涵使用的。
(文章开头就说这么废话)
这篇文章的主题是cookies,下面我来谈谈我的对cookies的认识。
1. 什么是cookies
cookies是http协议的一部分,它主要用来存储一些很少的数据,这些数据可以往来于客户端与服务器之间。
2. cookies存在的意义
为什么会有cookies这种东西存在,这要从http的特性谈起,起初http是一个无状态的协议(当然现在也是无状态的协议),之所以无状态是因为http是基于tcp的上传应用协议,它的一个主要特点就是用完即放,也就是客户端发起请求、服务器相应后tcp连接就断开了,这种模式决定了是http无法保存状态。
协议本身就是一种约定,为相同的场景约定出来一套规范,为未来可能的场景预测出来一套规范。
那么有了cookies后http就变得有状态了,可以说cookies是对http的扩展或者增强,比较常用的比如:保存用户的登陆状态。虽然是对http的一种增强,但是也引入了一些安全问题,后面会谈到具体的安全隐患。
cookies是一种古老的技术,算然现在的浏览器提供了其它本地存储技术,但还是不能完全替代cookies,因为cookies是一种可以被服务器端控制的客户端存储技术,而无需我们用javascript写额外的存储代码。
3.如何使用cookies
cookies中定义了几个关键属性来保证cookies的正常工作。
-
Expires、Max-Age:
- 如果在不设定该值时为【会话期cookie】也就是说当浏览器关闭的时候cookie失效,
- 持久cookie,设置该值为一个固定的日期,在这个日期之前cookie会一直有效
- Max-Age的优先级高于Expires,如果设置了Max-Age则Expires无效
-
Domain、Path:
-
Domain用来指定该cookie可以被哪个主机访问,若设置了该值通常包含其子域名;默认为当前文档的主机,不包含子域名。
-
Path:设置可被主机下的哪些路径访问,例如/docs与/docs/会匹配不同的路径,前者包含子路劲,后者仅为当前路径
-
-
SameSite:
- 设置在跨站请求时cookie怎么发送,asp.net core中定义了三种模式:lax、none、strict,默认为lax松懈模式。
-
Secure、HttpOnly:
- Secure设置的cookie要求必须在https协议中才会被发送到服务器(高版本浏览器支持)
- HttpOnly设置的cookie不允许客户端访问,防止xss攻击
4. cookies安全
http中引入cookies虽然解决了状态的问题,但也引入了新的安全问题,如何才能保证cookies不被窃取。在我看来http是无安全可言的,我们能做的很少,我们努力尽量防止客户端被攻破,但也只仅仅是稍微增加了一点破解难度而已。
下面列举两个经常遇到的安全问题:
-
xss攻击
跨站脚本攻击,通过设置HttpOnly来阻止客户端获取cookies
-
csrf
跨站请求伪造,被攻击的网站对于敏感的操作增加确认步骤。
//如果用户恰好登陆example.com,此时如果在同一浏览器的其它站点无意中有以下图片代码,则就会被攻击。 <img src="http://bank.example.com/withdraw?account=bob&amount=1000000&for=mallory">