摘要:可以通過來維護狀態(tài)信息。就表示當前僅能在目錄下使用�����。常用的操作及其函數(shù)實現(xiàn)方法可根據(jù)世界時把對象轉(zhuǎn)換為字符串��,并返回結(jié)果�����。瀏覽器支持會話恢復(fù)�,保留。和標志只能通過傳輸�,可以防止攻擊。表示無法通過調(diào)用�,防止中間人劫持。
0. 從http協(xié)議的無狀態(tài)性說起
http 是無狀態(tài)的協(xié)議
無連接:處理完一個請求就斷開鏈接(http1.1以后可以實現(xiàn)長連接)
無狀態(tài):上一次會話與下一次會話沒有聯(lián)系�。
可以通過 cookie 來維護狀態(tài)信息。
1. cookie
存儲大?��。好織l的存儲空間為4k�;
特點:
- cookie沒有顯示的刪除函數(shù)�����,可以設(shè)置 expire/max-age 過期時間��,自動觸發(fā)瀏覽器的刪除機制���。
- 服務(wù)器通過設(shè)置響應(yīng)頭來設(shè)置客戶端的cookie����,Set-Cookie: cookie-名=cookie值??梢酝瑫r添加多個Set-Cookie,從而設(shè)置多個cookie的值���。
- 不允許存儲敏感信息(用戶名�,密碼等)�,一定要存儲,要設(shè)置 cookie為 httponly����, 另外考慮使用 非對稱加密
- 瀏覽器 中的cookie 數(shù)量達到上限后,會刪除舊的創(chuàng)建新的�����,刪哪個由瀏覽器的策略決定
- cookie 通常與 session 一起使用��。
- 登錄時���,server 端存儲 用戶信息相關(guān)的 session����。
- server 端����,生成的 sessionid 會放在cookie中,對應(yīng)域名下就有了這個cookie�。
- 以后會自動帶這個 cookie,server 根據(jù)id 找到 session���,獲取用戶信息�。
基本操作
客戶端:
// 讀?�。?document.cookie
// 設(shè)置:
document.cookie = "myNmae=liulanqi;path=/;domain=.baidu.com";
服務(wù)端:
使用 setCookie 來設(shè)置�,在設(shè)置多個 cookie的時候,得多寫幾個 setCookie�。
設(shè)置cookie:
document.cookie="userId=828";
document.cookie="userName=hulk";
此時瀏覽器將會維護兩個cookie,分別為userId和userName��;相當于:
document.addCookie("userId=828");
document.addCookie("userName=hulk");
如果要改變一個cookie的值���,只需重新賦值��,例如:
document.cookie="userId=929";
獲取cookie:
var strCookie=document.cookie;
console.log(strCookie); //userId=828; userName=hulk
- 只能一次獲取所有的cookie的值�,而不能指定cookie名稱來獲得指定的值�。
- 如果在某個頁面創(chuàng)建了一個cookie,那么該頁面所在目錄中的其他頁面也可以訪問該cookie�。
- 為了控制cookie可以訪問的目錄�����,需要使用path參數(shù)設(shè)置cookie���。document.cookie="userId=320; path=/shop";就表示當前cookie僅能在shop目錄下使用。
常用的cookie操作及其函數(shù)實現(xiàn):
addCookie(name, value, expireHours):
function addCookie(name,value,expireHours){
var exdate = new Date();
exdate.setTime(exdate.getTime() + expireHours * 60 * 60 * 1000);
document.cookie = name + "=" + escape(value) + ((expireHours == null) ? "" : ";expires=" + exdate.toUTCString());
}
toUTCString() 方法可根據(jù)世界時 (UTC) 把 Date 對象轉(zhuǎn)換為字符串��,并返回結(jié)果�����。
getCookie(name):
function getCookie(name){
let arr, reg = new RegExp(`^| ${name} = [^;]*;|$`);
if (arr = document.cookie.match(reg)) return arr[2];
else return null;
}
cookie的可選項:
expires/max-age: 設(shè)置過期時間��。
expires是絕對時間���,max-age是相對時間���。
如果沒有設(shè)置過期時間,則表示是一個會話期cookie���,在關(guān)閉瀏覽器后���,會被移除��。
瀏覽器支持會話恢復(fù)���,保留cookie。
正數(shù)�,表示 多少秒后失效
負數(shù)���,該 cookie 是臨時 cookie����,關(guān)閉瀏覽器就失效�,瀏覽器頁不會以任何形式保存該 cookie
為 0,表示刪除 cookie
domain和path:
path�����,設(shè)置必須匹配的路徑或者子路由才會發(fā)送cookie�。如果路徑設(shè)為/forums/,那么這個 Cookie 只有在訪問www.example.com/forums及其子路徑時才有效�。
path 的設(shè)置,必須以 ‘/’結(jié)尾
domain 的設(shè)置����,第一個字符必須是 ‘.’, 比如“.baidu.com”
domain標識指定了哪些主機可以接受cookie����。如果沒有設(shè)置�����,則是當前主機(不包含子域名)�����,否則為設(shè)置的域名(包含子域名)�。
secure和httponly:
secure標志cookie只能通過https傳輸,可以防止xss攻擊���。
httponly表示cookie無法通過javascript調(diào)用���,防止中間人劫持。把cookie設(shè)置為secure�,只保證 cookie 與服務(wù)器之間的數(shù)據(jù)傳輸過程加密,而保存在本地的 cookie文件并不加密�。如果想讓本地cookie也加密,得自己加密數(shù)據(jù)���。
samesite:可以設(shè)置 SameSite:SameSite=Strict SameSite=Lax���。則 cookie 不跨域發(fā)送�。ajax中設(shè)置xhr.withCredentials = true;
:
問題:
- 問題:“www.qq.com” 與 “sports.qq.com” 公用一個關(guān)聯(lián)的域名”qq.com”�,我們?nèi)绻胱尅眘ports.qq.com” 下的cookie被 “www.qq.com” 訪問:
- 解答:我們就需要用到cookie 的domain屬性,并且需要把path屬性設(shè)置為 “/“�����。例:document.cookie = “username=Darren;path=/;domain=qq.com“
- 問題:同域名的資源請求時��,會默認帶上本地的cookie����,如何優(yōu)化�?
- 解答:將靜態(tài)資源分組,分別放在不同的子域下(子域名請求時�,是不會帶上父級域名的cookie的)
cookie 的跨域問題
域名、端口相同就不算跨域�,協(xié)議可以不同。
文章版權(quán)歸作者所有���,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/106259.html
