Cookie,大家都知道它是用户状态管理以及用户识别的。Web网站通过写入一些用户状态相关字段到浏览器里,用户访问网站时,通过通信取回cookie。
Cookie 主要用于以下三个方面:
●会话状态管理(如用户登录状态、购物车、游戏分数或其它需要记录的信息)
●个性化设置(如用户自定义设置、主题等)
●浏览器行为跟踪(如跟踪分析用户行为等)
一。Set-Cookie---response header
我们先访问下Bing网站,看下bing的set-cookie, 见下图。
今天我们先分析下字段不是大写字母的这些。
1.domain
cookie适用对象的域名。匹配规则是结尾一致。 图中我们可以看到.bing.com ,这个表示只要域名是.bing.com 都适用这个cookie.
2. path
cookie 起作用的文件目录。
3. securesecure 限制仅在https安全连接时,才发送Cookie.
4. samesite
Cookie 的SameSite属性用来限制第三方 Cookie,从而减少安全风险。用来防止CSRF 攻击。必须和secure 一起使用才有效。有三个值:Strict, Lax 和None. 严格程度从strict到none 依次降低。
5. expires
过期时间。 表示cookie 失效时间。
6.HttpOnly
它可以让javascript 无法获得cookie。防止XSS 对Cookie的窃取。
二。Cookie -----request header
客户端发送请求给服务器端的时候, 直接把自己的状态相关信息发送给服务器表明自己身份,让服务器知道自己是谁。如果有多个cookie被客户端收到,那么客户端也会发多个cookie 给服务器端。
以上就是cookie 相关字段。你学会了吗?