怎么上网做网站,怎么查看网站空间大小,网站流量下跌,毕节网站网站建设结论先行#xff1a;
Cookie 中除了名称和值外#xff0c;还有几个比较常见的#xff0c;例如#xff1a;
Domain 域#xff1a;指定了 cookie 可以发送到哪些域#xff0c;只有发送到指定域或其子域的请求才会携带该cookie#xff1b;
Path 路径#xff1a;指定哪些…结论先行
Cookie 中除了名称和值外还有几个比较常见的例如
Domain 域指定了 cookie 可以发送到哪些域只有发送到指定域或其子域的请求才会携带该cookie
Path 路径指定哪些请求 URL 路径可以访问 cookie只有在指定的路径下发起的请求才会携带该 cookie
Expires/Max-size 过期时间设置 cookie 的过期时间。在这个时间之后客户端将不再发送该cookie
Secure 安全标志如果设置了这个标志那么cookie 只有在通过 HTTPS 连接时才会发送到服务器。而不会通过 HTTP 协议
HttpOnly如果设置了这个标志那么 JavaScript 将无法操作该 cookie这样可以防止跨站脚本攻击获取到cookie 信息。只有服务端可以通过响应头设置它们 具体解析
除了名称和值之外cookie 还具有控制很多方面的属性包括安全方面、生命周期以及它们在浏览器中的访问位置和方式等。 名称Namecookie 的名称用于在服务器端识别和访问该 cookie 值Value与 cookie 相关联的值可以是任何字符串或者文本 1、Domain告诉浏览器允许哪些主机访问 cookie。 如果未指定则默认为设置 cookie 的同一主机。因此当使用客户端 JavaScript 访问 cookie 时只能访问与 URL 域相同的 cookie。 同样只有与 HTTP 请求的域共享相同域的 cookie 可以与请求头一起发送到服务端。 注意拥有此属性并不意味着可以为任何域设置 cookie因为这显然会带来巨大的安全风险。 此属性存在的唯一原因就是减少域的限制并使 cookie 在子域上可访问。
例如如果当前的域是 abc.xyz.com并且在设置 cookie 时如果不指定 Domain 属性则默认为 abc.xyz.com并且 cookie 将仅限于该域。 但是可能希望相同的 cookie 也可用于其他子域因此可以设置 Domainxyz.com 以使其可用于其他子域如 def.xyz.com 和主域 xyz.com。 2、Path指定访问 cookie 必须存在的请求 URL 中的路径 除了将 cookie 限制到域之外还可以通过路径来限制它。 路径属性为 Path/store 的 cookie 只能在路径 /store 及其子路径 /store/cart、/store/gadgets 等上访问。 3、Expires/Max-size设置 cookie 的过期时间 若设置其值为一个时间那么当到达此时间后cookie 就会失效。 不设置的话默认值是 Session意思是 cookie 会和 session 一起失效。当浏览器关闭(不是浏览器标签页) 后cookie 就会失效。 除此之外它还可以通过将过期日期设置为过去来删除 cookie。 4、Secure 具有 Secure 属性的 cookie 仅可以通过安全的 HTTPS 协议发送到服务器而不会通过 HTTP 协议。 这有助于通过使 cookie 无法通过不安全的连接访问来防止中间人攻击。除非网站实用不安全的 HTTP 连接否则应该始终将此属性与所有 cookie 一起使用。 5、HttpOnly 此属性使 cookie 只能通过服务端访问。
因此只有服务端可以通过响应头设置它们然后浏览器会将它们与每个后续请求的头一起发送到服务器并且它们将无法通过客户端 JavaScript 访问。 这可以在一定程度上帮助保护带有敏感信息如身份验证 token的 cookie 免受 XSS 攻击因为任何客户端脚本都无法读取 cookie。
但这并不意味着可以完全免受 XSS 攻击。因为如果攻击者可以在网站上执行第三方脚本那可能无法访问 cookie相反他们可以直接向服务端执行相关的 API 请求。
因此想象一下用户访问了一个页面黑客在网站上注入了恶意脚本。他们可以使用该脚本执行任何 API并在他们不知道的情况下代表用户执行操作。 6、SameSite 标志SameSite
指定了浏览器是否应该将 cookie 与跨站点请求一起发送。 它可以设置为 Strict、Lax 或 None。 总结
这些属性中的大部分都是可选的但通常建议至少设置名称、值和域属性来确保cookie 能够按预期工作。
