cookie & set-cookie

摘自透视HTTP协议：让我知道你是谁：HTTP的Cookie机制

响应头字段 Set-Cookie

当用户通过浏览器第一次访问服务器的时候，服务器肯定是不知道他的身份的。所以，就要创建一个独特的身份标识数据，格式是key=value，然后放进 Set-Cookie 字段里，随着响应报文一同发给浏览器。

浏览器收到响应报文，看到里面有 Set-Cookie，知道这是服务器给的身份标识，于是就保存起来，下次再请求的时候就自动把这个值放进 Cookie 字段里发给服务器。

因为第二次请求里面有了 Cookie 字段，服务器就知道这个用户不是新人，之前来过，就可以拿出 Cookie 里的值，识别出用户的身份，然后提供个性化的服务。

不过因为服务器的“记忆能力”实在是太差，所以，服务器有时会在响应头里添加多个 Set-Cookie，存储多个key=value。

但浏览器这边发送时不需要用多个 Cookie 字段，只要在一行里用“;”隔开就行。

image.png

请求头字段 Cookie

Cookie 就是服务器委托浏览器存储在客户端里的一些数据，而这些数据通常都会记录用户的关键识别信息。所以，就需要在key=value外再用一些手段来保护，防止外泄或窃取，这些手段就是 Cookie 的属性。

image.png

首先，我们应该设置 Cookie 的生存周期，即有效期，可以使用 Expires 和 Max-Age 两个属性来设置。Expires俗称过期时间，用绝对时间点，可以理解为截止日期deadline。Max-Age用相对时间，单位是秒，浏览器用收到报文的时间点再加上 Max-Age，就可以得到失效的绝对时间。它俩可以同时出现，两者可一致，也可不一致，但浏览器会优先采用 Max-Age

其次，我们需要设置 Cookie 的作用域，让浏览器仅发送给特定的服务器和 URI，避免被其他网站盗用。Domain和Path指定了 Cookie 所属的域名和路径，浏览器在发送 Cookie 前会从 URI 中提取出 host 和 path 部分，对比 ，如果不满足条件，就不会在请求头里发送 Cookie。

最后要考虑的就是 Cookie 的安全性了，尽量不要让服务器以外的人看到。写过前端的同学一定知道，在 JS 脚本里可以用 document.cookie 来读写 Cookie 数据，这就带来了安全隐患，有可能会导致跨站脚本XSS攻击窃取数据。属性HttpOnly会告诉浏览器，此 Cookie 只能通过浏览器 HTTP 协议传输，禁止其他方式访问，浏览器的 JS 引擎就会禁用 document.cookie 等一切相关的 API，脚本攻击也就无从谈起了。

另一个属性SameSite可以防范跨站请求伪造XSRF攻击，设置成SameSite=Strict可以严格限定 Cookie 不能随着跳转链接跨站发送，而SameSite=Lax则略宽松一点，允许GET/HEAD 等安全方法，但禁止 POST 跨站发送。

还有一个属性叫Secure，表示这个 Cookie 仅能用 HTTPS 协议加密传输，明文的 HTTP 协议会禁止发送。但 Cookie 本身不是加密的，浏览器里还是以明文的形式存在。

Chrome 开发者工具是查看 Cookie 的有力工具，在Network-Cookies里可以看到单个页面 Cookie 的各种属性，另一个Application面板里则能够方便地看到全站的所有 Cookie。

image.png

image.png

Cookie 的应用

Cookie 最基本的一个用途就是身份识别，保存用户的登录信息，实现会话事务。比如，你用账号和密码登录某电商，登录成功后网站服务器就会发给浏览器一个 Cookie，内容大概是name=yourid，这样就成功地把身份标签贴在了你身上。之后你在网站里随便访问哪件商品的页面，浏览器都会自动把身份 Cookie 发给服务器，所以服务器总会知道你的身份，一方面免去了重复登录的麻烦，另一方面也能够自动记录你的浏览记录和购物下单（在后台数据库或者也用 Cookie），实现了状态保持。

Cookie 的另一个常见用途是广告跟踪。你上网的时候肯定看过很多的广告图片，这些图片背后都是广告商网站（例如 Google），它会“偷偷地”给你贴上 Cookie 小纸条，这样你上其他的网站，别的广告就能用 Cookie 读出你的身份，然后做行为分析，再推给你广告。这种 Cookie 不是由访问的主站存储的，所以又叫第三方 Cookie（third-party cookie）。如果广告商势力很大，广告到处都是，那么就比较“恐怖”了，无论你走到哪里它都会通过 Cookie 认出你来，实现广告“精准打击”。

为了防止滥用 Cookie 搜集用户隐私，互联网组织相继提出了 DNT（Do Not Track）和 P3P（Platform for Privacy Preferences Project），但实际作用不大。

---

jsessionid什么时候生成并传递到前端的？

• 如果客户端请求的cookie中不包含JSESSIONID，服务端调用request.getSession()时就会生成并传递给客户端，此次响应头会包含设置cookie的信息

image.png

• 如果客户端请求的cookie中包含JSESSIONID，服务端调用request.getSession()时就会根据JSESSIONID进行查找对象，如果能查到就返回，否则就跟没传递JSESSIONID一样；
  
  image.png