zoukankan      html  css  js  c++  java
  • Cookie

    • HTTP 1.0 中协议是无状态的,但在web应用中,在多个请求之间共享会话是非常必要的,所以出现了cookie
    • cookie是为了辨别用户身份,进行会话跟踪而存储在客户端上的数据

    Cookie的处理流程

    使用步骤

    服务器发送cookie

    客户点第一次访问服务器的时候服务器通过响应头向客户端发送cookie,属性之间用分号空格分隔

    1
    Set-Cookie:name=gjr; Path=/

    客户端接收保存cookie

    客户端接收到cookie之后保存在本地

    控制台 F12 - Resources - Cookies 下 即可查看

    客户端发cookie

    以后客户端再请求服务器的时候会把此cookie发送到服务器

    1
    Cookie:name=gjr

    cookie的重要性

    属性 说明
    name=value 键值对,可以设置要保存的Key/Value
    Domain 域名,默认是当前域名
    maxAge 最大失效时间(毫秒),设置在多少毫秒后失效
    secure 当secure值为true时,cookie在HTTP中是无效的,在HTTPS中才有效
    Path 表示cookie影响到的路,如path=/。如果路径不能匹配时,浏览器则不发送这个cookie
    Expires 过期时间(秒),在设置的某个时间点后该cookie就会失效,如expire=Money,05-Dec-11 11:11:11 GMT
    httpOnly 如果在cookie中设置了httpOnly属性,则通过程序(JS脚本)将无法读取cookie信息,防止XSS攻击产生

    在express中向客户端发送cookie

    设置cookie

    1
    res.cookie(name,value,[,options]);
    参数 chrome对应属性 类型 说明 示例
    domain Domain String 域名,默认是当前域名 {domain:’a.zfpx.cn’}
    path Path String 路径,默认是/ {path:’/visit’}
    expires Expires Date 过期时间,如果没以有指定或为0表示当前会话有效 {expires:new Date(Date.now()+20*1000)}
    maxAge Max-Age Number 有效时间(单位是毫秒) {maxAge:20*1000}
    httpOnly HTTP Boolean 不能通过浏览器javascript访问 {httpOnly:true}
    secure Secure String 只通过https协议访问

    获取cookie

    使用cookie-parse中间件

    1
    npm install cookie-parser --save

    1
    2
    3
    4
    app.use(require('cookie-parser')());
    response.cookie(key,value) //在响应中向客户端设置cookie
    request.cookies //获取请求中的cookie对象
    response.clearCookie('username') //清除cookie
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    var express = require('express');
    var cookieParser = require('cookie-parser');
    var app = express();
    /**
    * 如果要加密的话 cookieParser里要指定密码,而且signed要等于true res.cookie('name','zfpx',{signed:true});
    */
    app.use(cookieParser('zfpx'));
    app.get('/write',function(req,res){
    //1.普通设置
    //res.cookie('name','value');
    //2.设置域名
    //res.cookie('name','zfpx',{domain:'a.zfpx.cn'});
    //3.设置路径
    //res.cookie('name','zfpx',{path:'/visit'});
    //4.过期时间
    //res.cookie('name','zfpx',{expires:new Date(Date.now()+20*1000)});//毫秒
    //res.cookie('name','zfpx',{maxAge:20*1000});//过期时间 毫秒
    //httpOnly true还是false无意义 document.cookie取不到
    //res.cookie('name','zfpx',{httpOnly:true});
    res.cookie('age','123',{signed:true});
    res.end('ok');
    });
    app.get('/read',function(req,res){
    console.log(req.signedCookies);
    res.send(req.cookies);
    });
    //记录这是客户端的第几次访问
    app.get('/visit',function(req,res){
    res.cookie('count',isNaN(req.cookies.count)?0:parseInt(req.cookies.count)+1);
    res.send(req.cookies);
    });
    app.listen(9090);

    cookie原理分析

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    大专栏  Cookie class="line">31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    function (secret){
    return function (req, res, next){
    req.secret = secret;
    if (!req.headers.cookie) {
    return next();
    }
    req.cookies = require('querystring').parse(req.headers.cookie,'; ','=');
    if(req.secret){
    req.signedCookies = {};
    for(let attr in req.cookies){
    let val = req.cookies[attr];
    req.signedCookies[attr] = unsign(val, secret);
    }
    }
    }
    next();
    }
    }
    function cookie(name, val, options) {
    var opt = options || {};
    val = encodeURIComponent(val);
    if(opt.secret){
    var secret = this.req.secret;
    val = sign(val,this.secret);
    }
    var pairs = [name + '=' + value];
    if (null != opt.maxAge) {
    var maxAge = opt.maxAge - 0;
    if (isNaN(maxAge)) throw new Error('maxAge should be a Number');
    pairs.push('Max-Age=' + Math.floor(maxAge));
    }
    if (opt.domain) {
    pairs.push('Domain=' + opt.domain);
    }
    if (opt.path) {
    pairs.push('Path=' + opt.path);
    }
    if (opt.expires) pairs.push('Expires=' + opt.expires.toUTCString());
    if (opt.httpOnly) pairs.push('HttpOnly=true');
    if (opt.secure) pairs.push('Secure=true');
    return pairs.join('; ');
    }
    var crypto = require('crypto');
    exports.sign = function(val, secret){
    return val + '.' + crypto
    .createHmac('sha256', secret)
    .update(val)
    .digest('base64')
    .replace(/=+$/, '');
    };
    exports.unsign = function(val, secret){
    var str = val.slice(0, val.lastIndexOf('.'))
    , mac = exports.sign(str, secret);
    return mac == val ? str : false;
    };

    权限控制

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    var express = require('express');
    var cookieParser = require('cookie-parser');
    var app = express();
    app.set('view engine','html');
    app.engine('html',require('ejs').__express);
    app.set('views',__dirname);
    app.use(cookieParser());
    function checkUser(req,res,next){
    if(req.cookies && req.cookies.username)
    next();
    else
    res.redirect('/');
    }
    //进入登录页
    app.get('/',function(req,res){
    res.render('index');
    });
    //登录
    app.get('/login',function(req,res){
    res.cookie('username',req.query.username,{httpOnly:true});
    res.redirect('/user');
    });
    //用户页面
    app.get('/user',checkUser,function(req,res){
    res.render('user',{username:req.cookies.username});
    });
    //用户退出
    app.get('/logout',function(req,res){
    res.clearCookie('username');//清除cookie
    res.redirect('/');
    });
    app.listen(8080);

    cookie使用注意事项

    • 可能被客户端篡改,使用前验证合法性
    • 不要存储敏感数据,比如账户用户密码,账户余额
    • 使用httpOnly保证安全
    • 尽量减少cookie的体积
    • 设置正确的domain和path,减少数据传输
  • 相关阅读:
    html5本地存储之localstorage 、本地数据库、sessionStorage简单使用示例
    HTMl5的存储方式sessionStorage和localStorage详解
    浏览器文档模式设置
    页面缓存
    SQL Server死锁总结
    读写分离,读写分离死锁解决方案,事务发布死锁解决方案,发布订阅死锁解决方案
    页面缓存
    HTML5 history API,创造更好的浏览体验
    【转】编写高质量代码改善C#程序的157个建议——建议96:成员应优先考虑公开基类型或接口
    【转】编写高质量代码改善C#程序的157个建议——建议95:避免在构造方法中调用虚成员
  • 原文地址:https://www.cnblogs.com/lijianming180/p/12326913.html
Copyright © 2011-2022 走看看