Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。
expires是当前cookie的过期时间。max-age是当前cookie经过多少秒失效,等于0是关闭浏览器立即失效,小于0是cookie无效 立即删除。max-age的优先级比exprises高。
path:路径,指定与cookie关联的web,目录或路径,
"/" 凡是来自同一服务器,URL里有相同路径的所有web页面都可以共享cookies。
domain:域,指定关联的web服务器或域,值是域名,如果我们想让www.achome.cn能够访问bbs.achome.cn设置的cookies,该怎么办? 我们可以把domain属性设置成“achome.cn”,并把path属性设置成“/”。
secure:安全,指定cookie的值通过网络如何在用户和服务器之间传递。不设置或为空的情况就是使用不安全的HTTP链接传递数据。否则就是通过HTTPS或者其他安全协议传递数据。
本地的cookie文件并不加密。
samesite:(strict、lax、none)
strict最严格,完全禁止第三方cookie,跨站点时任何情况都不发送cookie。当前URL与请求目标一致才会带上cookie。
lax除了导航到目标网址的get请求外大多数情况也不发送第三方cookie,允许链接、预加载、get 表单携带cookie,但post表单、iframe、ajax等不允许携带cookie。基本也杜绝了CSRF攻击。
none任何时候都带上cookie。
HTTPonly:安全性,客户端脚本无法通过document.cookie等方式获取读写。有助于避免xss攻击。
CSRF攻击:cookie往往用来存储用户的身份信息,恶意网站可以设法伪造带有正确cookie的HTTP请求。第三方网站诱导发出的cookie,称为第三方cookie。
设置cookie:响应头中的set-cookie 前端设置cookie。同站same-site 二级域名+顶级域名,相等即可。www.lilnong.top 主机名.二级域名.顶级域名。同源和跨域same-origin 和cross-origin 。
