摘要:瀏覽器主要保存服務(wù)端發(fā)送給用戶瀏覽器和頁面調(diào)用所設(shè)置的小片數(shù)據(jù)��。瀏覽器在磁盤上保存并且在下一次請(qǐng)求時(shí)發(fā)送給相同的服務(wù)器��。也稱為會(huì)話����,包含和兩部分,客戶端通過記錄會(huì)話標(biāo)識(shí)���,服務(wù)端通過會(huì)話標(biāo)識(shí)找到對(duì)應(yīng)的�。黑客可以通過注入和利用中的信息�。
瀏覽器 cookie 主要保存服務(wù)端發(fā)送給用戶瀏覽器和頁面調(diào)用 document.cookie=? 所設(shè)置的小片數(shù)據(jù)。瀏覽器在磁盤上保存 cookie 并且在下一次請(qǐng)求時(shí)發(fā)送給相同的服務(wù)器���。
session(也稱為會(huì)話)��,包含 session cookie 和 session content 兩部分�����,客戶端通過 session cookie 記錄會(huì)話標(biāo)識(shí)���,服務(wù)端通過會(huì)話標(biāo)識(shí)找到對(duì)應(yīng)的 session content�。
cookie 和 session 的初衷是不同�����,cookie 最初是普遍使用客戶端存儲(chǔ)方案���,session 最初是想維持用戶登錄狀態(tài)����。session 巧妙的應(yīng)用了服務(wù)端設(shè)置Set-Cookie響應(yīng)頭部的方式和網(wǎng)絡(luò)請(qǐng)求攜帶Cookie請(qǐng)求頭部的特性����。
Cookie的幾種應(yīng)用場(chǎng)景
會(huì)話管理
用戶登錄狀態(tài)��、購物車列表等
個(gè)性化設(shè)置
用戶偏好,用戶主題等
跟蹤行為
用戶行為分析
Cookie的組成部分
我們可以通過控制臺(tái)查看到應(yīng)用cookie內(nèi)容����,控制臺(tái)是以表格形式展示:
name
value
expires
過期時(shí)間,如國(guó)不設(shè)置��,默認(rèn)為Session(瀏覽器關(guān)閉后銷毀)
domain
可訪問cookie的域名�,支持泛域名的配置(例如 .jaylin.wang)
path
可訪問cookie的path
httpOnly
是否只允許服務(wù)端讀取cookie內(nèi)容
secure
是否加密處理
Cookie使用注意事項(xiàng)
盡量減少 cookie 中的存儲(chǔ)數(shù)據(jù)
由于 cookie 每次會(huì)在請(qǐng)求頭部,大量的 cookie 數(shù)據(jù)會(huì)導(dǎo)致 http 請(qǐng)求的速度�。在現(xiàn)代瀏覽器中,我們可以首選Web Storage API (localStorage 和 sessionStorge) 和 IndexedDB
不適用 cookie 中保存敏感信息
雖然cookie支持 Secure 和 httpOnly兩種模式��,但瀏覽器不敢保證 cookie 絕對(duì)安全�����。黑客可以通過XSS注入和CSRF利用cookie中的信息�����。
Session的補(bǔ)充
服務(wù)端 session 默認(rèn)是存儲(chǔ)在內(nèi)存之中���,但是應(yīng)用過程中��,我們也會(huì)使用 mysql��、redis�、mongodb 等存儲(chǔ)方案去持久化 session。
夜以深��,這篇對(duì) cookie 和 session 的輕描淡寫到此為止吧��,希望能給Web入門同學(xué)帶來幫助�,更希望有深入理解的朋友多多交流,good night~~
文章持續(xù)更新地址:http://jaylin.wang/2017/sessi...
文章版權(quán)歸作者所有�,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/89631.html
