一、Cookie概述
1.1 Cookie的属性
Cookie是由服务器发送到用户浏览器并保存在本地的一小块数据,用于保持浏览器和服务器之间的状态。一个典型的Cookie属性包括:名称(name),值(value),过期时间(expires),域(domain),路径(path),安全标志(secure),最大年龄(max-age)和HttpOnly标志。
- 1、名称和值是必需的属性,分别指定了Cookie的名称和值。
- 2、过期时间用于指定Cookie何时应该被删除。
- 3、域和路径定义了该Cookie的可访问范围,告诉浏览器该Cookie属于哪个网站。
- 4、安全标志设置为true时,浏览器只会在HTTPS和SSL等安全协议中传输此Cookie,不会在不安全的HTTP协议中传输此Cookie。
- 5、最大年龄设置Cookie的有效期,单位为秒。当达到最大年龄时,Cookie将被自动删除。
- 6、HttpOnly标志指示浏览器禁止通过JavaScript访问该Cookie,从而减少XSS攻击的风险。
1.2 Cookie的工作机制
Cookie的工作机制基于服务器与浏览器之间的信息交换。其工作流程如下:
- 1、服务器通过Set-Cookie报头把特定的信息(即Cookie)发送给浏览器。
- 2、浏览器接收到服务器发来的Set-Cookie报头后,会保存相应的Cookie信息,并在下次向同一服务器再发起请求时,将该Cookie信息携带并发送到服务器上。
- 3、服务器通过解析浏览器发送过来的Cookie信息,确定用户状态或身份。
具体来说,Cookie机制主要应用在保持用户的登录状态上。例如,当用户登录一个网站时,前端会通过用户登录API向后端传递用户信息,后端核对信息是否匹配数据库。如果匹配成功,后端将在登录API返回头部的set-cookie字段中设置记录用户状态的cookie值,例如userToken。这样,在用户与服务端的后续交互中,就可以通过这个cookie来识别用户,从而维持用户的登录状态。
1.3 使用Cookie的好处和注意事项