什么是Cookie?
为什么需要Cookie?
首先我们要明确一个概念,就是我们访问web服务所使用的HTTP服务是无状态的。
这就意味着,服务器无法分辨收到的请求是属于哪一个用户的。
这时候,我们就需要通过cookie来对用户的身份进行标识了,用户每次对服务器发起请求时,都带上自己独有的cookie,服务器通过读取cookie信息,识别用户。
Cookie是怎么工作的?
首先我们来看一张图:
当用户第一次访问web服务器时,服务器会通过HTTP响应报文中的Set-Cookie字段,给用户分配一个唯一的标识:cookie 。
当该用户再次向服务器端发起请求时,会将之前获取到的cookie存放在HTTP请求报文的Cookie字段中,一并发往服务器。
服务器通过读取cookie字段的值来识别用户。
此外,cookie都是有失效时间的,失效后就需要重新获取。默认情况下它是一个会话级别的cookie,存储在浏览器的内存中,当用户退出浏览器之后就会被删除,下次访问时再重新获取。
当然如果网站希望浏览器将该Cookie存在的时间更长一些,也可以设置最大时效(例如七天免登陆),超过时效后再删除cookie。
Cookie的属性有哪些?
Cookie属性包括:name、value、expires、domain、path、secure、max-age、HttpOnly。
各属性的作用如下:
- name 该属性是必需的,它是一个键值对,用于指定Cookie的键。
- value 该属性是必需的,它是一个键值对,用于指定Cookie的值。
- expires 用于指定Cookie过期时间。
- domain 用于指定Cookie所在的域名。
- path 用于指定路径,必须是绝对路径(比如/、/mydir),如果未指定,默认为请求该Cookie的网页路径。
- secure 用于指定Cookie只能在加密协议HTTPS下发送到服务器。
- max-age 用于指定Cookie有效期,正常情况下优先级高于expires。
- HttpOnly 用于设置该Cookie不能被JavaScript读取。
一些安全特性
(1)同源策略
假如网站A有cookie,网站B也有cookie,那浏览器访问网站B时,会不会携带上网站A的cookie呢?又或者网站B能不能修改网站A的cookie呢?
为了避免出现这种情况,浏览器引入了同源策略。必须满足以下三个条件,才能互相读取cookie值。
- 协议相同
- 域名相同
- 端口相同
以下图为例,只有前两个网站符合同源要求:
(2)Cookie作用域
domain是域名,path是路径,两者加起来就构成了 URL,domain和path一起来限制 cookie 能被哪些 URL 访问。
浏览器向服务器提交cookie,需要满足以下两点要求:
- 当前域名或者父域名下的cookie
- 当前路径或者父路径下的cookie
以domain为例,现在有如下3个域名:
- example.com
- monster.example.com
- www.monster.example.com
如果在域名example.com下设置获取cookie,那么该域名下的子域名都可以接收到cookie。
如果在域名monster.example.com下设置cookie,example.com不能获取到域名,www.monster.example.com可以获取到。
因此子域名是可以从父域名读取cookie,但父域名不可以从子域名读取。
(3)HttpOnly
JS 原生的 API提供了获取cookie的方法:document.cookie,在XSS攻击中,常常被用于盗取用户的cookie。
如果攻击者能够盗取网站管理员的cookie,那么就可以用管理员的身份直接登录网站后台,而不必非要去获得管理员账号和密码。
举个例子:
攻击者准备一台事先Web服务器(假如IP地址为192.168.80.142),在其中创建一个名为getcookie.php的网页,网页代码如下:
在正常网站通过XSS漏洞插入以下恶意代码:
一旦用户访问该页面,cookie值就会被盗取,并发送去攻击者的服务器:
而HttpOnly属性就是用来设置cookie是否能通过 js去访问。默认情况下该选项为空,客户端是可以通过js代码去访问(包括读取、修改、删除等)cookie的。
当cookie带httpOnly选项时,客户端则无法通过js代码去访问了,是用于防御XSS攻击的常用手段之一。
Part.2
什么是Session?
Session是怎样工作的?
Session是另一种会话状态管理机制,不同的是Cookie被保存在客户端,而Session保存在服务器上,工作流程如下图所示:
当浏览器访问服务器时,服务器会为每一个访问用户生成一个session文件,用于存储用户信息。
每一个session都有一个唯一的sessionid,创建完session后,服务器会将sessionid通过cookie返回给客户端,客户端获取到的sessionid如下:
当客户端后续发送请求报文时,都会通过cookie字段带上sessionid。
服务器收到请求报文后,通过读取sessionid在本地查找session信息,从而识别用户的身份。
根据sessionid在服务器查找session文件如下,记录了用户信息:
Cookie和Session对比
1、cookie存放在客户端,而session存放在服务器端。
2、cookie因为保存在客户端本地,因此存在被拦截或者修改的风险。
3、session因为存放在服务器端,更安全,但用户量越大,服务器压力也越大。
4、cookie的存储限制了数据量,只允许4KB,而session是无限量的。
因此我们最好不要用cookie来直接存放用户账号、密码等敏感信息,传输过程中存在泄漏风险。
Session虽然安全,但也更占服务器资源,因此将cookie和session混合使用的方式,是一个比较好的解决方案。
例如用session存放敏感信息,而cookie则用于保存那些不太重要的信息。
转载文章
本文章仅提供学习使用,有任何问题,欢迎您在底部评论区留言,一起交流~
- Author:KoGe
- URL:https://www.shipangshuo.xyz/article/cookie-vs-session
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!
