zoukankan      html  css  js  c++  java
  • HTTP Cookie header 中set-cookie格式及安全secure httponly

    Cookie相关的Http头

        有 两个Http头部和Cookie有关:Set-Cookie和Cookie。
        Set-Cookie由服务器发送,它包含在响应请求的头部中。它用于在客户端创建一个Cookie
        Cookie头由客户端发送,包含在HTTP请求的头部中。注意,只有cookie的domain和path与请求的URL匹配才会发送这个cookie。
     
    Set-Cookie Header 
        Set-Cookie响应头的格式如下所示:
     
            Set-Cookie: <name>=<value>[; <name>=<value>]...
                        [; expires=<date>][; domain=<domain_name>]
                        [; path=<some_path>][; secure][; httponly]
     
        expires=<date>: 设置cookie的有效期,如果cookie超过date所表示的日期时,cookie将失效。
                        如果没有设置这个选项,那么cookie将在浏览器关闭时失效。
                        注意:date是格林威治时间(GMT),使用如下格式表示:
                           
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    DAY, DD MMM YYYY HH:MM:SS GMT
     
                            DAY
                                The day of the week (Sun, Mon, Tue, Wed, Thu, Fri, Sat).
                            DD
                                The day in the month (such as 01 for the first day of the month).
                            MMM
                                The three-letter abbreviation for the month (Jan, Feb, Mar, Apr, May, Jun, Jul, Aug, Sep, Oct, Nov, Dec).
                            YYYY
                                The year.
                            HH
                                The hour value in military time (22 would be 10:00 P.M., for example).
                            MM
                                The minute value.
                            SS
                                The second value.
     
        domain=<domain_name> : 
        path=<some_path>:
                        注:临时cookie(没有expires参数的cookie)不能带有domain选项。
                        当客户端发送一个http请求时,会将有效的cookie一起发送给服务器。
                        如果一个cookie的domain和path参数和URL匹配,那么这个cookie就是有效的。

                        一个URL中包含有domain和path,可以参考http://www.w3school.com.cn/html/html_url.asp
     

     
        secure   : 表示cookie只能被发送到http服务器。
        httponly : 表示cookie不能被客户端脚本获取到。  
     
     
    secure属性可防止信息在传递的过程中被监听捕获后导致信息泄露,如果设置为true,可以限制只有通过https访问时,才会将浏览器保存的cookie传递到服务端,如果通过http访问,不会传递cookie。
     
    js对secure的支持是没问题的,可是httponly本就是为限制js而产生的,当然httponly的cookie也不会被js创建
    httponly参数只可以在服务器端设置
     
    httponly参数是用来限制非HTTP协议程序接口对客户端COOKIE进行访问的,所以客户端脚本,如JS是无法取得这种COOKIE的,同时,JQuery中的“$.cookie('xxx')”方法也无法正常工作,所以想要在客户端取到httponly的COOKIE的唯一方法就是使用AJAX,将取COOKIE的操作放到服务端,接收客户端发送的ajax请求后将取值结果通过HTTP返回客户端。
  • 相关阅读:
    Java异常的优势与缺陷,及其处理原则
    Kettle 4.2源码分析第四讲--KettleJob机制与Database插件简介(含讲解PPT)
    Kettle 4.2源码分析第三讲--Kettle 转换机制transformation介绍
    Kettle 4.2源码分析第二讲--Kettle插件结构体系简介
    Kettle 4.2源码分析第一讲--Kettle 简介
    pytorch one hot 的转换
    SQLSERVER类似于lastindexof的语句
    自定义省市选择器 微信小程序多列选择器
    王者荣耀伽罗壁纸
    微信小程序实现淡入淡出效果(页面跳转)
  • 原文地址:https://www.cnblogs.com/silyvin/p/12190856.html
Copyright © 2011-2022 走看看