Cookie

  • HTTP 1.0 中协议是无状态的,但在web应用中,在多个请求之间共享会话是非常必要的,所以出现了cookie
  • cookie是为了辨别用户身份,进行会话跟踪而存储在客户端上的数据

Cookie的处理流程

使用步骤

服务器发送cookie

客户点第一次访问服务器的时候服务器通过响应头向客户端发送cookie,属性之间用分号空格分隔

       
      
      
      
1
       
      
      
      
Set-Cookie:name=gjr; Path= /

客户端接收保存cookie

客户端接收到cookie之后保存在本地

控制台 F12 - Resources - Cookies 下 即可查看

客户端发cookie

以后客户端再请求服务器的时候会把此cookie发送到服务器

       
      
      
      
1
       
      
      
      
Cookie:name=gjr

cookie的重要性

属性 说明
name=value 键值对,可以设置要保存的Key/Value
Domain 域名,默认是当前域名
maxAge 最大失效时间(毫秒),设置在多少毫秒后失效
secure 当secure值为true时,cookie在HTTP中是无效的,在HTTPS中才有效
Path 表示cookie影响到的路,如path=/。如果路径不能匹配时,浏览器则不发送这个cookie
Expires 过期时间(秒),在设置的某个时间点后该cookie就会失效,如expire=Money,05-Dec-11 11:11:11 GMT
httpOnly 如果在cookie中设置了httpOnly属性,则通过程序(JS脚本)将无法读取cookie信息,防止XSS攻击产生

在express中向客户端发送cookie

设置cookie

       
      
      
      
1
       
      
      
      
res.cookie(name,value,[,options]);
参数 chrome对应属性 类型 说明 示例
domain Domain String 域名,默认是当前域名 {domain:’a.zfpx.cn’}
path Path String 路径,默认是/ {path:’/visit’}
expires Expires Date 过期时间,如果没以有指定或为0表示当前会话有效 {expires:new Date(Date.now()+20*1000)}
maxAge Max-Age Number 有效时间(单位是毫秒) {maxAge:20*1000}
httpOnly HTTP Boolean 不能通过浏览器javascript访问 {httpOnly:true}
secure Secure String 只通过https协议访问

获取cookie

使用cookie-parse中间件

       
      
      
      
1
       
      
      
      
npm install cookie-parser --save

       
      
      
      
1
2
3
4
       
      
      
      
app.use( require( 'cookie-parser')());
response.cookie(key,value) //在响应中向客户端设置cookie
request.cookies //获取请求中的cookie对象
response.clearCookie( 'username') //清除cookie
       
      
      
      
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
       
      
      
      
var express = require( 'express');
var cookieParser = require( 'cookie-parser');
var app = express();
/**
* 如果要加密的话 cookieParser里要指定密码,而且signed要等于true res.cookie('name','zfpx',{signed:true});
*/
app.use(cookieParser( 'zfpx'));
app.get( '/write', function(req,res){
//1.普通设置
//res.cookie('name','value');
//2.设置域名
//res.cookie('name','zfpx',{domain:'a.zfpx.cn'});
//3.设置路径
//res.cookie('name','zfpx',{path:'/visit'});
//4.过期时间
//res.cookie('name','zfpx',{expires:new Date(Date.now()+20*1000)});//毫秒
//res.cookie('name','zfpx',{maxAge:20*1000});//过期时间 毫秒
//httpOnly true还是false无意义 document.cookie取不到
//res.cookie('name','zfpx',{httpOnly:true});
res.cookie( 'age', '123',{ signed: true});
res.end( 'ok');
});
app.get( '/read', function(req,res){
console.log(req.signedCookies);
res.send(req.cookies);
});
//记录这是客户端的第几次访问
app.get( '/visit', function(req,res){
res.cookie( 'count', isNaN(req.cookies.count)? 0: parseInt(req.cookies.count)+ 1);
res.send(req.cookies);
});
app.listen( 9090);

cookie原理分析

       
      
      
      
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
大专栏   Cookie class="line">31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
       
      
      
      
function (secret){
return function (req, res, next){
req.secret = secret;
if (!req.headers.cookie) {
return next();
}
req.cookies = require( 'querystring').parse(req.headers.cookie, '; ', '=');
if(req.secret){
req.signedCookies = {};
for( let attr in req.cookies){
let val = req.cookies[attr];
req.signedCookies[attr] = unsign(val, secret);
}
}
}
next();
}
}
function cookie(name, val, options) {
var opt = options || {};
val = encodeURIComponent(val);
if(opt.secret){
var secret = this.req.secret;
val = sign(val, this.secret);
}
var pairs = [name + '=' + value];
if ( null != opt.maxAge) {
var maxAge = opt.maxAge - 0;
if ( isNaN(maxAge)) throw new Error( 'maxAge should be a Number');
pairs.push( 'Max-Age=' + Math.floor(maxAge));
}
if (opt.domain) {
pairs.push( 'Domain=' + opt.domain);
}
if (opt.path) {
pairs.push( 'Path=' + opt.path);
}
if (opt.expires) pairs.push( 'Expires=' + opt.expires.toUTCString());
if (opt.httpOnly) pairs.push( 'HttpOnly=true');
if (opt.secure) pairs.push( 'Secure=true');
return pairs.join( '; ');
}
var crypto = require( 'crypto');
exports.sign = function(val, secret){
return val + '.' + crypto
.createHmac( 'sha256', secret)
.update(val)
.digest( 'base64')
.replace( /=+$/, '');
};
exports.unsign = function(val, secret){
var str = val.slice( 0, val.lastIndexOf( '.'))
, mac = exports.sign(str, secret);
return mac == val ? str : false;
};

权限控制

       
      
      
      
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
       
      
      
      
var express = require( 'express');
var cookieParser = require( 'cookie-parser');
var app = express();
app.set( 'view engine', 'html');
app.engine( 'html', require( 'ejs').__express);
app.set( 'views',__dirname);
app.use(cookieParser());
function checkUser(req,res,next){
if(req.cookies && req.cookies.username)
next();
else
res.redirect( '/');
}
//进入登录页
app.get( '/', function(req,res){
res.render( 'index');
});
//登录
app.get( '/login', function(req,res){
res.cookie( 'username',req.query.username,{ httpOnly: true});
res.redirect( '/user');
});
//用户页面
app.get( '/user',checkUser, function(req,res){
res.render( 'user',{ username:req.cookies.username});
});
//用户退出
app.get( '/logout', function(req,res){
res.clearCookie( 'username'); //清除cookie
res.redirect( '/');
});
app.listen( 8080);

cookie使用注意事项

  • 可能被客户端篡改,使用前验证合法性
  • 不要存储敏感数据,比如账户用户密码,账户余额
  • 使用httpOnly保证安全
  • 尽量减少cookie的体积
  • 设置正确的domain和path,减少数据传输

你可能感兴趣的:(Cookie)