cookie工作原理

发表于   |   分类于

前言

Cookie是保存在客户端中,按在客户端中的存储位置,可分为内存Cookie和硬盘Cookie。内存Cookie由浏览器维护,保存在内存中,浏览器关闭后就消失了,其存在时间是短暂的。而硬盘Cookie保存在硬盘里,有一个过期时间,除非用户手工清理或到了过期时间,硬盘Cookie不会被删除,其存在时间是长期的。所以,按存在时间,可分为非持久Cookie和持久Cookie。

Cookie属性及作用

 Domain:域,表示当前cookie所属于哪个域或子域下面。只有访问该cookie所属于的域名时,才会带上该cookie信息至服务端。例如:设置Domain为"pandan.xyz"二级域名,那么浏览器访问www.pandan.xyz和bbs.pandan.xyz等三级域名时,都会带上该cookie信息;

Path:路径,表示cookie的所属路径。默认为"/",访问cookie所属的路径时,请求才会带上该cookie信息;

Secure:表示该cookie只能用https传输。一般用于包含认证信息的cookie,要求传输此cookie的时候,必须用https传输。如果此值设置为true而网络协议是http非安全协议,请求是不会带上该cookie信息的;

HttpOnly:表示浏览器js脚本不能读取该cookie信息。可以有效的防止xss攻击;

Expires/Max-Age:表示cookie的过期时间。Expires是过期日期(绝对时间),Max-Age是相对时间(相对于当前时间的毫秒数);

使用示例

/**方式1:向客户端写cookie信息的*/  
Cookie c = new Cookie(name, value);  
c.setPath("/");  
c.setDomain(".pandan.xyz");  
c.setMaxAge(maxAge);//0表示清除客户端cookie信息,-1(小于0)表示会话cookie,大于0持久化cookie  
response.addCookie(c);  

/**方式2:向客户端写cookie信息*/  
StringBuilder sb = new StringBuilder();  
sb.append(name).append("=").append(value).append(";");  
sb.append("Domain=").append(".pandan.xyz").append(";");  
if(maxAge >= 0){  
    sb.append("Max-Age=").append(maxAge).append(";");//maxAge:相对时间(毫秒数),Max-Age对于IE浏览器不支持,要设置Expires属性  
}  
sb.append("Path=/;");  
sb.append("HttpOnly;");  
response.setHeader("Set-Cookie", sb.toString());

总结

对于servlet3.0以下的版本没有设置httpOnly属性的方法,只能通过方式二进行cookie httpOnly属性的设置,servlet容器将方式一设置的cookie信息,最终还是以方式二的方式输出给浏览器的。