网站制作 符合百度,郑州哪些公司做网站建设,简单好看的网页设计代码,电子商务网站建设 实验分析文章目录 1、cookie重要字段2、子域cookie机制3、路径cookie机制4、HttpOnly Cookie机制5、Secure Cookie机制6、本地cookie与内存cookie7、本地存储方式 一般来说#xff0c;同域内浏览器中发出的任何一个请求都会带上cookie#xff0c;无论请求什么资源#xff0c;请求时同域内浏览器中发出的任何一个请求都会带上cookie无论请求什么资源请求时cookie出现再请求头的cookie字段中。服务端响应头的set-cookie字段可以添加、修改和删除cookie客户端通过javascript也可以添加、修改和删除cookie。另外cookie是无法跨浏览器存在的。 利用cookie机制我们可以存储用户的会话信息比如用户登录认证后的session之后同域内发出的请求都会带上认证后的会话信息。
1、cookie重要字段
setcookie()函数用于设置cookie;[name][value][expires][path][domain][secure][httponly] 含义依次是名称、值、过期时间、所属相对路径、域名、是否有secure标志、是否有httponly标志。
2、子域cookie机制 Domain字段设置cookie时如果不指定则默认本域。例如x.xxx.com域通过javascript设置一个cookieDocument.cookietest1此时domian值默认是x.xxx.com如果通过javascript设置一个父域Document.cookietest1; domainxxx.com。此时domain域变成xxx.com这样的好处就是可以再不同的子域共享cookie坏处就是攻击者通过控制其他子域也可以读到这个cookie。 注意此机制不允许设置cookie的domain为下一级子域或其他外域。 3、路径cookie机制 path字段设置cookie时如不指定path的值则默认时当前页面路径。例如www.xxx.com/admin/index.php页面通过javascript设置一个cookiedocument.cookietest1此时path的值默认为/admin/。 通过设置path字段javascript可以设置任意cookie到任意路径下但是只有这个目标路径/admin/路径下的页面javascript才能读取到该cookie。但是通过设置path不能防止重要的cookie被窃取。比如/test/路径想读取/admin/路径的cookie可以通过跨iframe进行DOM操作实现。
4、HttpOnly Cookie机制
什么是HttpOnly
HttpOnly是cookie的一种属性用于告诉浏览器不要想向客户端脚本暴露cookie指仅在HTTP层面传输Cookie当设置HttpOnly属性后客户端脚本就无法读取该cookie能有效防御XSS攻击获取cookie。
5、Secure Cookie机制 secure Cookie机制指的是设置了Secure标志的cookie仅在HTTPS层面上安全传输如果请求是HTTP就不会带上这个cookie这样能降低重要的cookie被中间人解惑的风险。但是secure cookie对于客户端脚本来说是可读写的也就意味着它能够被盗取和篡改。可通过如下JS代码对已知的secure cookie进行篡改
6、本地cookie与内存cookie 两者的区别在于过期时间。如果没设置过期时间就是内存cookie这样的cookie会随着浏览器的关闭而从内存中消失如果设置了过期时间那么就是本地cookie这样的cookie就会以文本的形式保存在操作系统本地待过期时间到了会自动消失。
7、本地存储方式 浏览器本地存储是一种在浏览器中长久保存数据的方法称为本地数据持久化当我们刷新页面或者同域名内页面跳转仍然可以保留数据。浏览器本地存储对服务器来说减少存储压力对用户来说响应速度变快提升用户体验。浏览器本地存储方式
