cookie实践
前面介绍了cookie和session的区别,这里读起来是有收获的,但是不做实验总是感觉很多东西浮在表面上,所以这里来做一下实验,看一下相应的知识点。
服务器搭建
这里使用最简单的node express,搭建一个简单的web服务器,相关命令如下:
|
|
命令执行完成之后会发现已经有如下的结构出来,我们只需要编辑main.js即可:
|
|
编辑代码,输入:
|
|
这样就建立起一个简单的web服务器,我们来设置几个cookie看下。
cookie设置
在设置cookie前,我们先回顾一下cookie的工作原理:
|
|
我们来验证一下,修改代码,加上下面的一行:
|
|
重启服务器后看一下整个请求的过程:
首次请求中在request中没有包括key0=value0的cookie,在response中带了key0的cookie,第二次请求后:
已经带了key0的cookie。我们可以在console里看一下当前的cookie值,使用 document.cookie
就可以查看:
确实已经有了key0的cookie。
下面总结一下什么是cookie:
|
|
cookie的属性
前面我们讲过,cookie的内容主要包括:名字,值,过期时间,路径和域,我们梳理一下前面的内容,做一个归纳总结:
|
|
属性就是对自身包含的内容设置一些特殊参数的东西,比如什么时候过期等等,下面我们就来看cookie的属性。
expires / max-age
expires / max-age 都是控制 Cookie 失效时刻的选项。如果没有设置这两个选项,则默认有效期为 session,即会话 Cookie。这种 Cookie 在浏览器关闭后就没有了。
expires
expires 选项用来设置 Cookie 什么时间内有效,expires 其实是 Cookie 失效日期。
expires 必须是 GMT 格式的时间(可以通过 new Date().toGMTString() 或者 new Date().toUTCString() 来获得)
我们修改一下代码:
|
|
这里设置了10s的失效时间,我们来看一下实际运行的情况:
发现已经设置了expire的过期时间,这时候在console里执行以下代码:
|
|
观察到以下现象:
10s之后,key1的cookie已经失效了。
######max-age
expires 是 http/1.0 协议中的选项,在新的 http/1.1 协议中 expires 已经由 max-age 选项代替,两者的作用都是限制 Cookie 的有效时间。expires 的值是一个时间点 (Cookie 失效时刻 = expires),而 max-age 的值是一个以秒为单位时间段 (Cookie 失效时刻 = 创建时刻 + max-age)
当两者都存在的时候,以max-age的值为准:
|
|
我们看一下实际的运行效果:
|
|
console运行之前的代码,修改打印cookie的时间,得出以下结果:
这里console打印的内容没改,但是等待的时间已经变成10s 15s,分析一下上面的数据:
|
|
domain 和 path
name、domain 和 path 可以标识一个唯一的 Cookie。domain 和 path 两个选项共同决定了 Cookie 何时被浏览器自动添加到请求头部中发送出去。
如果没有设置这两个选项,则会使用默认值。domain 的默认值为设置该 Cookie 的网页所在的域名,path 默认值为设置该 Cookie 的网页所在的目录。
secure
secure 选项用来设置 Cookie 只在确保安全的请求中才会发送。当请求是 HTTPS 或者其他安全协议时,包含 secure 选项的 Cookie 才能被保存到浏览器或者发送至服务器。
默认情况下,Cookie 不会带 secure 选项(即为空)。所以默认情况下,不管是 HTTPS 协议还是 HTTP 协议的请求,Cookie 都会被发送至服务端。
httpOnly
这个选项用来设置 Cookie 是否能通过 js 去访问。默认情况下,Cookie 不会带 httpOnly 选项(即为空),客户端是可以通过 js 代码去访问(包括读取、修改、删除等)这个 Cookie 的。当 Cookie 带 httpOnly 选项时,客户端则无法通过 js 代码去访问(包括读取、修改、删除等)这个 Cookie。
相应的实验可以通过设置
|
|
来实验,会发现在console里打印cookie的时候没有httpOnlyTest这个cookie值。
关于domain和path
domain和path分别指代的是作用域和路径,我们先来看看域名的部分定义:
作用域
|
|
以下图为例,news.163.com 和 sports.163.com 是子域,163.com 是父域。
当 Cookie 的 domain 为 news.163.com,那么访问 news.163.com 的时候就会带上 Cookie;
当 Cookie 的 domain 为 163.com,那么访问 news.163.com 和 sports.163.com 就会带上 Cookie
作用路径
当 Cookie 的 domain 是相同的情况下,也有是否带上 Cookie 也有一定的规则。
在子路径内可以访问访问到父路径的 Cookie,反过来就不行。
设置 Cookie
明确一点:Cookie 可以由服务端设置,也可以由客户端设置。看到这里相信大家都可以理解了吧。
服务端设置 Cookie
|
|
客户端设置 Cookie
在网页即客户端中我们也可以通过 js 代码来设置 Cookie。
可以设置 Cookie 的下列选项:expires、domain、path,各个键值对之间都要用 ; 和 空格 隔开
|
|
secure
只有在 https 协议的网页中,客户端设置 secure 类型的 Cookie 才能成功
HttpOnly
客户端中无法设置 HttpOnly 选项
删除 Cookie
Cookie 的 name、path 和 domain 是唯一标识一个 Cookie 的。我们只要将一个 Cookie 的 max-age 设置为 0,就可以删除一个 Cookie 了。
|
|