cookie是服务端通过Set-Cookie设置到浏览器中,浏览器保存这个值后,下次在同域的请求时就会自动带上这个cookie(比如一个会话中,保存了用户的登录信息和登录状态,有助于服务端读取,并且返回正确的内容)。存储形式是键值对。Cookie的属性:max-age和expires设置过期时间;Secure只在https的时候发送;设置HttpOnly,则无法通过document.cookie(js的一个api)访问(有助于提高安全性)。
下面通过一个简单的例子说明:创建test.html和serve.js
test.html
server.js
启动node server.js,打开页面,浏览器中console和network显示如下(这个是通过document.cookie读取打印出来的):
第一次打开网页的network如下(此时request header中没有Cookie):
刷新页面,network如下(再次请求,request header中出现Cookie):
服务端向浏览器写入cookie可以在浏览器如下查看:
同时Set-Cookie可以设置过期时间和多个值,node中是通过设置数组的方式:
刷新请求后,network中图如下:
可以看出几个存储键值对的不同。15s以后,刷新浏览器,查看network:
15s后,request header中不再带上过期的Cookie。注意这里由于后只做了简单的处理,我们再次快速刷新两次,则两个Cookie仍然会带上。
带上HttpOnly则不可用document.cookie访问,更改server.js如下:
server.js
这里只读取到了name='simple'。设置HttpOnly是一种最佳实践。
Session 的知识后续总结。。。。。。。。
