[圖片上傳失敗...(image-b5901d-1536505633922)]
1.Cookie是什么
有了解HTTP協(xié)議的小伙伴,應(yīng)該都知道HTTP是無(wú)狀態(tài)協(xié)議,是不記錄狀態(tài)。換句話說(shuō),無(wú)論你客戶端向同一個(gè)服務(wù)器發(fā)送多少個(gè)請(qǐng)求,服務(wù)器都不知道你是誰(shuí)。如果是這樣,那么我們需要登錄,買買買的購(gòu)物車,就無(wú)法實(shí)現(xiàn)啦。現(xiàn)在就引出我們的Cookie,Cookie就是為了解決這個(gè)問(wèn)題而生的。
What is the Cookie?(Web開發(fā)里Cookie的含義)
1.Cookie是瀏覽器訪問(wèn)服務(wù)器后,服務(wù)器傳給瀏覽器的一段數(shù)據(jù)
2.瀏覽器需要保存這段數(shù)據(jù),不得輕易刪除
3.此后每次瀏覽器訪問(wèn)該服務(wù)器的時(shí)候,都必須帶上這段數(shù)據(jù)
2.Cookie的作用
Cookie一般有兩個(gè)作用。
1.用來(lái)識(shí)別用戶身份
比如用戶A用瀏覽器訪問(wèn)了http://a.com,那么http://a.com的服務(wù)器就會(huì)立刻給A返回一段數(shù)據(jù)[auth:A](這就是Cookie)。當(dāng)A再次訪問(wèn)http://a.com時(shí),就會(huì)帶上這段數(shù)據(jù)。
同理,用戶B用瀏覽器訪問(wèn)了http://a.com,那么http://a.com的服務(wù)器就會(huì)立刻給A返回一段數(shù)據(jù)[auth:B]。當(dāng)B再次訪問(wèn)http://a.com時(shí),就會(huì)帶上這段數(shù)據(jù)。
2.記錄歷史
假設(shè)http://a.com是一個(gè)購(gòu)物網(wǎng)站,當(dāng)A在上線將商品A,商品B放入購(gòu)物車時(shí),JS可以改寫Cookie,改為[auth:B;cart=A,B],表示購(gòu)物車?yán)镉蠥和B這兩樣商品。這樣一來(lái),當(dāng)用戶關(guān)閉網(wǎng)頁(yè),過(guò)幾天再打開該網(wǎng)頁(yè)的時(shí)候,依然可以看到A,B沉睡在購(gòu)物上中,因?yàn)椋饲拔恼掠刑岬剑瑸g覽器不得輕易刪除Cookie。借此,我們就可以達(dá)到記錄用戶操作的目的。
3.Cookie的使用
1:在服務(wù)器端
Web 服務(wù)器通過(guò)發(fā)送一個(gè)稱為 Set-Cookie 的 HTTP 消息頭來(lái)創(chuàng)建一個(gè) cookie,Set-Cookie 消息頭是一個(gè)字符串,其格式如下(中括號(hào)中的部分是可選的):
Set-Cookie: value[; expires=date][; domain=domain][; path=path][; secure]
value
消息頭的第一部分,value 部分,通常是一個(gè) name=value 格式的字符串。事實(shí)上,這種格式是原始規(guī)范中指定的格式,但是瀏覽器并不會(huì)對(duì) cookie 值按照此格式來(lái)驗(yàn)證。實(shí)際上,你可以指定一個(gè)不含等號(hào)的字符串,它同樣會(huì)被存儲(chǔ)。然而,最常用的使用方式是按照 name=value 格式來(lái)指定 cookie 的值(大多數(shù)接口只支持該格式)。
過(guò)期時(shí)間選項(xiàng)
過(guò)期時(shí)間選項(xiàng),在set-cookie中,我們可以通過(guò)expires或者max-age設(shè)置,expires的時(shí)間格式一般遵循Wdy, DD-Mon-YYYY HH:MM:SS GMT 日期格式的值,而max-age是以秒為單位,另外值得注意的是max-age的權(quán)限大于expires。
max-age:指的是在服務(wù)器發(fā)送Cookie給瀏覽器后,如果Cookie存在時(shí)間超過(guò)max-age設(shè)置的時(shí)間,則瀏覽器必須刪除Cookie,反之。
expires:指的是在服務(wù)器發(fā)送Cookie給瀏覽器后,如果Cookie存在時(shí)間超過(guò)expires設(shè)置的日期,則瀏覽器必須刪除Cookie,反之。
domain 選項(xiàng)
下一個(gè)選項(xiàng)是 domain,指定了 cookie 將要被發(fā)送至哪個(gè)域中。默認(rèn)情況下,domain 會(huì)被設(shè)置為創(chuàng)建該 cookie 的頁(yè)面所在的域名,所以當(dāng)給相同域名發(fā)送請(qǐng)求時(shí)該 cookie 會(huì)被發(fā)送至服務(wù)器。例如,本博中 cookie 的默認(rèn)值將是 sheldonyee.com。domain 選項(xiàng)可用來(lái)擴(kuò)充 cookie 可發(fā)送域的數(shù)量,例如:
Set-Cookie: name=Sheldon; domain=sheldonyee.com
path 選項(xiàng)
另一個(gè)控制 Cookie 消息頭發(fā)送時(shí)機(jī)的選項(xiàng)是 path 選項(xiàng),和 domain 選項(xiàng)類似,path 選項(xiàng)指定了請(qǐng)求的資源 URL 中必須存在指定的路徑時(shí),才會(huì)發(fā)送Cookie 消息頭。這個(gè)比較通常是將 path 選項(xiàng)的值與請(qǐng)求的 URL 從頭開始逐字符比較完成的。如果字符匹配,則發(fā)送 Cookie 消息頭,例如:
Set-Cookie:name=Sheldon;path=/blog
secure 選項(xiàng)(沒有使用)
最后一個(gè)選項(xiàng)是 secure。不像其它選項(xiàng),該選項(xiàng)只是一個(gè)標(biāo)記而沒有值。只有當(dāng)一個(gè)請(qǐng)求通過(guò) SSL 或 HTTPS 創(chuàng)建時(shí),包含 secure 選項(xiàng)的 cookie 才能被發(fā)送至服務(wù)器。這種 cookie 的內(nèi)容具有很高的價(jià)值,如果以純文本形式傳遞很有可能被篡改,例如:
Set-Cookie: name=Sheldon; secure
事實(shí)上,機(jī)密且敏感的信息絕不應(yīng)該在 cookie 中存儲(chǔ)或傳輸,因?yàn)?cookie 的整個(gè)機(jī)制原本都是不安全的。默認(rèn)情況下,在 HTTPS 鏈接上傳輸?shù)?cookie 都會(huì)被自動(dòng)添加上 secure 選項(xiàng)。
HttpOnly
這個(gè)選項(xiàng)比較簡(jiǎn)單,就是禁止前端用代碼取得Cookie;
沒有設(shè)置HttpOnly
前端:document.cookie = authd=Sheldon
設(shè)置HttpOnly
前端:document.cookie = ''
2.前端的Cookie
在 JavaScript 中通過(guò) document.cookie 屬性,你可以創(chuàng)建、維護(hù)和刪除 cookie。創(chuàng)建 cookie 時(shí)該屬性等同于 Set-Cookie 消息頭,而在讀取 cookie 時(shí)則等同于 Cookie 消息頭。在創(chuàng)建一個(gè) cookie 時(shí),你需要使用和 Set-Cookie 期望格式相同的字符串:
document.cookie="name=Sheldon;domain=sheldonyee.com;path=/blog";
設(shè)置 document.cookie 屬性的值并不會(huì)刪除存儲(chǔ)在頁(yè)面中的所有 cookie。它只簡(jiǎn)單的創(chuàng)建或修改字符串中指定的 cookie。下次發(fā)送一個(gè)請(qǐng)求到服務(wù)器時(shí),通過(guò) document.cookie 設(shè)置的 cookie 會(huì)和其它通過(guò) Set-Cookie 消息頭設(shè)置的 cookie 一并發(fā)送至服務(wù)器。這些 cookie 并沒有什么明確的不同之處
總結(jié)
這篇文章簡(jiǎn)單闡述了Cookie和Cookie選項(xiàng)的含義,作為自己的學(xué)習(xí)筆記使用。
