什么是cookie?
二璇妹妹三周前登录了她的新浪微博,输入用户名和密码。两周前再一次登录,咦?直接就进去了,跳过了用户名和密码的环节。但是今天早上再登录时候,又要重新输入用户名密码了。弄懂这是为什么,就不必须说说cookie了。
这就是我的新浪微博,放在这里,试图涨粉
cookie是由服务器端生成的,发送给User-Agent(一般是浏览器),服务器告诉浏览器设置一下cookie,浏览器会将cookie以key/value的形式保存在某个目录下的文本文件内,下一次请求同一网站时就发送该cookie给服务器
http是无状态的协议,状态都是由cookie来控制的,二璇妹妹不需要重新登录,就是因为登录状态已经保存在cookie里了。
cookie的特点
有生命周期
每一个cookie都有一个生命周期,我们可以通过设置cookie的Expires值来设置这一条cookie信息失效的时间,默认是当浏览器关闭的时候失效。
我们可以利用new Date()的setTime和getTime来设置失效时间。满足同源策略
不同源的情况下,cookie一样是无法传递的。
但我们平时登录百度账号后,在百度知道,百度贴吧等,都直接显示了登录状态,这就涉及到跨域问题的,document.domain了。
只要把这几个页面的document.domain都设置成这个子域的名字,就可以实现跨域通信了。内存大小受到限制
Cookie有个数和大小的限制,大小一般是4k
我们也常常听到session
Session与Cookie在本质上没有区别,都是针对HTTP协议的局限性而提出的一种保持客户端和服务器间保持会话连接状态的机制。
简单说一下与cookie的几点不同
- cookie数据存放在客户端浏览器上,session数据放在服务器上。
- cookie不是很安全
- session会在一定时间内保存在服务器上,比较占用服务器的性能
- session 的运行依赖 session id,而session id是存在 cookie 中的,也就是说,如果浏览器禁用了 cookie ,session也会失效
cookie 和 session的几个问答
Cookie运行在客户端,Session运行在服务端,对吗?
不完全正确。
Cookie是运行在客户端,有客户端进行管理;Session虽然是运行在服务器端,但是sessionID作为一个Cookie是存储在客户端的。
浏览器禁止Cookie,Cookie就不能用了,但Session不会受浏览器影响,对吗?
错。
浏览器禁止Cookie,Cookie确实不能用了,Session会受浏览器端的影响。很简单的实验,在登录一个网站后,清空浏览器的Cookie和隐私数据,单机后台的连接,就会因为丢失Cookie而退出。当然,有办法通过URL传递Session。
浏览器关闭后,Cookie和Session都消失了,对吗?
错。
存储在内存中额Cookie确实会随着浏览器的关闭而消失,但存储在硬盘上的不会。更顽固的是Flash Cookie,不过现在很多系统优化软件和新版浏览器都已经支持删除Flash Cookie。百度采用了这样的技术记忆用户:Session在浏览器关闭后也不会消失,除非正常退出,代码中使用了显示的unset删除Session。否则Session可能被回收,也有可能永远残留在系统中。
Session 比 Cookie 更安全吗? 不应该大量使用Cookie吗?
错误。
Cookie确实可能存在一些不安全因素,但和JavaScript一样,即使突破前端验证,还有后端保障安全。一切都还要看设计,尤其是涉及提权的时候,特别需要注意。通常情况下,Cookie和Session是绑定的,获得Cookie就相当于获得了Session,客户端把劫持的Cookie原封不动地传给服务器,服务器收到后,原封不动地验证Session,若Session存在,就实现了Cookie和Session的绑定过程。因此,不存在Session比Cookie更安全这种说法。如果说不安全,也是由于代码不安全,错误地把用作身份验证的Cookie作为权限验证来使用。
Session是创建在服务器上的,应该少用Session而多用Cookie,对吗?
错。
Cookie可以提高用户体验,但会加大网络之间的数据传输量,应尽量在Cookie中仅保存必要的数据。
如果把别人机器上的Cookie文件复制到我的电脑上(假设使用相同的浏览器),是不是能够登录别人的帐号呢?如何防范?
是的。
这属于Cookie劫持的一种做法。要避免这种情况,需要在Cookie中针对IP、UA等加上特殊的校验信息,然后和服务器端进行比对。
在IE浏览器下登录某网站,换成Firefox浏览器是否仍然是未登录状态?使用IE登录了腾讯网站后,为什么使用Firefox能保持登录状态?
不同浏览器使用不同的Cookie管理机制,无法实现公用Cookie。如果使用IE登录腾讯网站,使用Firefox也能登录,这是由于在安装腾讯QQ软件时,你的电脑上同时安装了针对这两个浏览器的插件,可以识别本地已登录QQ号码进而自动登录。本质上,不属于共用Cookie的范畴。
