2. 程式人生 > >Http協議基礎之為 Cookie 服務的首部欄位

Http協議基礎之為 Cookie 服務的首部欄位

阿新 發佈:2019-02-10

管理伺服器與客戶端之間狀態的 Cookie,雖然沒有被編入標準化 HTTP/1.1 的 RFC2616 中,但在 Web 網站方面得到了廣泛的應用。

Cookie 的工作機制是使用者識別及狀態管理。Web 網站為了管理使用者的狀態會通過 Web 瀏覽器,把一些資料臨時寫入使用者的計算機內。接著當用戶訪問該Web網站時,可通過通訊方式取回之前發放的 Cookie。

呼叫 Cookie 時,由於可校驗 Cookie 的有效期,以及傳送方的域、路徑、協議等資訊,所以正規釋出的 Cookie 內的資料不會因來自其他 Web 站點和攻擊者的攻擊而洩露。

下面的表格內列舉了與 Cookie 有關的首部欄位。

首部欄位名 說明 首部型別
Set-Cookie 開始狀態管理所使用的Cookie資訊 響應首部欄位
Cookie 伺服器接收到的Cookie資訊 請求首部欄位

Set-Cookie: status=enable; expires=Tue, 05 Jul 2011 07:26:31 GMT; path=/; domain=.hackr.jp;

當伺服器準備開始管理客戶端的狀態時,會事先告知各種資訊。

下面的表格列舉了 Set-Cookie 的欄位值。

屬性 說明
NAME=VALUE 賦予 Cookie 的名稱和其值(必需項)
expires=DATE Cookie 的有效期(若不明確指定則預設為瀏覽器關閉前為止)
path=PATH 將伺服器上的檔案目錄作為Cookie的適用物件(若不指定則預設為文件所在的檔案目錄)
domain=域名 作為 Cookie 適用物件的域名 (若不指定則預設為建立 Cookie 的伺服器的域名)
Secure 僅在 HTTPS 安全通訊時才會傳送 Cookie
HttpOnly 加以限制,使 Cookie 不能被 JavaScript 指令碼訪問
  • expires 屬性
    Cookie 的 expires 屬性指定瀏覽器可傳送 Cookie 的有效期。

    • 當省略 expires 屬性時,其有效期僅限於維持瀏覽器會話(Session)時間段內。這通常限於瀏覽器應用程式被關閉之前。

    另外,一旦 Cookie 從伺服器端傳送至客戶端,伺服器端就不存在可以顯式刪除 Cookie 的方法。但可通過覆蓋已過期的 Cookie,實現對客戶端 Cookie 的實質性刪除操作。

  • path 屬性
    Cookie 的 path 屬性可用於限制指定 Cookie 的傳送範圍的檔案目錄。不過另有辦法可避開這項限制,看來對其作為安全機制的效果不能抱有期待。
  • domain 屬性
    通過 Cookie 的 domain 屬性指定的域名可做到與結尾匹配一致。比如,當指定 example.com 後,除 example.com 以外,www.example.com 或 www2.example.com 等都可以傳送 Cookie。

    • 因此,除了針對具體指定的多個域名傳送 Cookie 之 外,不指定 domain 屬性顯得更安全。

  • secure 屬性
    Cookie 的 secure 屬性用於限制 Web 頁面僅在 HTTPS 安全連線時,才可以傳送 Cookie。

    • 傳送 Cookie 時,指定 secure 屬性的方法如下所示。

    Set-Cookie: name=value; secure

    當省略 secure 屬性時,不論 HTTP 還是 HTTPS,都會對 Cookie 進行回收。

  • HttpOnly 屬性
    Cookie 的 HttpOnly 屬性是 Cookie 的擴充套件功能,它使 JavaScript 指令碼無法獲得 Cookie。其主要目的為防止跨站指令碼攻擊(Cross-site scripting,XSS)對 Cookie 的資訊竊取。

    • 傳送指定 HttpOnly 屬性的 Cookie 的方法如下所示。

    Set-Cookie: name=value; HttpOnly

    通過上述設定,通常從 Web 頁面內還可以對 Cookie 進行讀取操作。但使用 JavaScript 的 document.cookie 就無法讀取附加 HttpOnly 屬性後的 Cookie 的內容了。因此,也就無法在 XSS 中利用 JavaScript 劫持 Cookie 了。

    雖然是獨立的擴充套件功能,但 Internet Explorer 6 SP1 以上版本等當下的主流瀏覽器都已經支援該擴充套件了。另外順帶一提,該擴充套件並非是為了防止 XSS 而開發的。

    Cookie: status=enable

    首部欄位 Cookie 會告知伺服器,當客戶端想獲得 HTTP 狀態管理支援時,就會在請求中包含從伺服器接收到的 Cookie。接收到多個 Cookie 時,同樣可以以多個 Cookie 形式傳送。

    相關推薦

    Http協議基礎 Cookie 服務

    為 Cookie 服務的首部欄位 管理伺服器與客戶端之間狀態的 Cookie,雖然沒有被編入標準化 HTTP/1.1 的 RFC2616 中,但在 Web 網站方面得到了廣泛的應用。 Cookie 的工作機制是使用者識別及狀態管理。Web 網站為了管理使用者

    http協議基礎(九)響應

    響應首部欄位: 伺服器向客戶端返回響應報文中所使用的欄位,用於補充的附加資訊、伺服器資訊、以及對客戶端的附加要求等 1、Accept-Ranges 告知客戶端伺服器能否處理範圍請求,以指定獲取伺服器的某部分資源 可指定的欄位值分2種: 1.1   bytes:可處理範圍請求 1.2 &n

    http協議基礎(十)實體

    1、定義 包含在請求和響應中的實體部分所使用的首部,用於補充內容的更新時間等與實體相關的資訊 2、Allow 通知客戶端能夠支援的Request-URI指定資源的所有http方法:如果伺服器接收到不支援的方法,會返回狀態碼405Method Not Allowed作為響應返回 Allow:GET, H

    http協議基礎(八)請求

    請求首部欄位 定義:請求首部欄位是從客戶端到伺服器傳送請求報文中所使用的欄位,裡面包含了附加資訊、客戶端資訊以及對響應內容相關的優先順序等內容 1、Accept 通知伺服器使用者代理可處理的媒體型別及媒體型別的相對優先順序,可使用type/subtype這種形式,一次指定多種媒體型別 Accept:

    http協議基礎(七)通用

    通用首部欄位的意思,就是:請求和響應報文雙方都會使用的首部 1、Cache-Control 通過指定它的指令,能操作快取的工作機制 指令引數是可選的,多個指令通過“,”分隔 Cache-Control: private, max-age=0, no-cache Cache-Control指令一覽:

    HTTP圖解讀書筆記(第六章 HTTPcookie服務和其它

    為cookie服務的首部欄位 Set-Cookie  當服務端開始準備管理客戶端的狀態時,會事先告知各種資訊。 Set-Cookie欄位屬性: expires           指定瀏覽器可傳送c

    HTTP報頭中cookie服務

    Cookie的工作機制是使用者識別和狀態管理。Web網站為了管理使用者的狀態,會通過Web伺服器,把一些資料臨時寫入使用者的計算機內。當用戶訪問該Web網站時,可通過通訊方式取回之前存放的Cookie。呼叫Cookie是,由於可校驗Cookie的有效期,,以及傳

    [HTTP]HTTP報文實體詳解

    包含在請求報文和響應報文中的實體部分所使用的首部. 用於補充內容的更新時間等與實體相關的資訊 主要有以下欄位: 實體首部欄位 說明 Allow 用於通知客戶端能夠支援Request-UR

    淺析HTTP

        HTTP首部欄位是構成HTTP報文的重要組成部分,在客戶端和伺服器之間以HTTP協議進行通訊的過程中,無論是請求還是響應,它都能夠起到傳遞額外關鍵資訊的作用。     使用首部欄位是為了給瀏覽器和伺服器提供諸如報文大小、使用的語言、接收的字符集、認證資訊等內容。

    HTTP請求詳解(二)

    請求首部欄位是從客戶端向伺服器端傳送請求報文中所需要使用的欄位。它用來補充請求的附加資訊、客戶端資訊、對相應內容相關的優先順序等。     本文詳細講解以下請求首部欄位:Except、From、Host、If-Match、If-Modified-Since、

    HTTP響應詳解

    響應首部欄位是由伺服器向客戶端返回響應報文中使用的欄位,用於補充響應的附加資訊、伺服器資訊以及客戶端的附加要求等資訊。 Accept-Ranges         該首部欄位用於告知客戶端伺服器是否能夠處理範圍請求,以指定獲取伺服器端某個部分的資源。

    HTTP 實體詳解

    實體首部欄位是包含在請求報文和響應報文中的實體部分所使用的首部。用於補充內容的更新時間和與實體相關的資訊。 Allow     該首部欄位用於告知客戶端能夠支援Request-URI指定資源的所有HTTP方法。     當伺服器收到不支援的HTTP方法時

    HTTP圖解讀書筆記(第六章 HTTP)實體

    實體首部欄位是包含在請求報文和響應報文中的實體部分所使用的首部,用於補充內容的更新時間等與實體相關的資訊。 Allow 通知客戶端能夠支援Request-URI指定資源的所有HTTP方法。 當伺服器端收到不支援的HTTP方法時會返回405 Method Not Allowed。還會把支援

    HTTP圖解讀書筆記(第六章 HTTP)響應

    Accept-Ranges 告知客戶端伺服器是否可以處理範圍請求(可以:bytes,不可以:none) Age 告訴客戶端,源伺服器在多久前建立了響應,單位為秒 ETag 首部欄位 ETag 能告知客戶端實體標識。它是一種可將資源以字串形式做唯一性標識的方式。伺服器會為每份資源分

    HTTP圖解讀書筆記(第六章 HTTP)請求

    請求首部欄位 Accept 用於通知伺服器和代理,能夠處理的媒體型別和優先順序 eg:Accept: text/html,application/xhtml+xml,application/xml;q=0. 幾種媒體型別的例子: 文字檔案   

    HTTP圖解讀書筆記(第六章 HTTP)通用

    HTTP/1.1通用首部欄位 Cache-Chtrol操作快取的工作機制 快取請求指令           快取響應指令           publi

    HTTP圖解讀書筆記(第六章 HTTP

    HTTP請求報文 HTTP響應報文 一、HTTP首部欄位 使用首部欄位是為了給瀏覽器和伺服器提供報文主體大小、所使用的語言、認證資訊等內容。 四種HTTP首部欄位型別: 通用首部欄位        請求報文和響應

    HTTP全部報文

    總結了一下HTTP各種報文首部欄位。 HTTP報文型別與結構 HTTP報文結構 報文首部 空行(CR+LF) 報文主體 HTTP報文型別 http

    HTTP詳解--請求(十)

    請求首部欄位 作用:從客戶端往伺服器端傳送請求報文中所使用的欄位,用於補充請求的附加資訊,客戶端資訊,對響應內容相關的優先順序等內容; Accept 作用:該欄位可通知伺服器,使用者代理能夠

    HTTP完全解析

    http協議是前端開發人員最常接觸到的網路協議。在開發過程中,尤其是除錯過程中避免不了需要去分析http請求的詳細資訊。在這其中頭部欄位提供的資訊最多,比如通過響應狀態碼我們可以直觀的看到響應的大致狀態。那麼你是否清楚http首部欄位都有哪些,具體含義是什麼,可選值又有哪些呢?看完下面的內容,我相信對於這幾個