Cookie

时间：2020-02-18 20:08:52 阅读：94 评论：0 收藏：0 [点我收藏+]

HTTP 1.0 中协议是无状态的，但在web应用中，在多个请求之间共享会话是非常必要的，所以出现了cookie
cookie是为了辨别用户身份，进行会话跟踪而存储在客户端上的数据

Cookie的处理流程

技术图片

使用步骤

服务器发送cookie

客户点第一次访问服务器的时候服务器通过响应头向客户端发送cookie，属性之间用分号空格分隔

1	Set-Cookie:name=gjr; Path=/

客户端接收保存cookie

客户端接收到cookie之后保存在本地

控制台 F12 - Resources - Cookies 下即可查看

客户端发cookie

以后客户端再请求服务器的时候会把此cookie发送到服务器

1	Cookie:name=gjr

cookie的重要性

属性	说明
name=value	键值对，可以设置要保存的Key/Value
Domain	域名，默认是当前域名
maxAge	最大失效时间(毫秒),设置在多少毫秒后失效
secure	当secure值为true时,cookie在HTTP中是无效的,在HTTPS中才有效
Path	表示cookie影响到的路,如path=/。如果路径不能匹配时，浏览器则不发送这个cookie
Expires	过期时间(秒),在设置的某个时间点后该cookie就会失效,如expire=Money,05-Dec-11 11:11:11 GMT
httpOnly	如果在cookie中设置了httpOnly属性,则通过程序(JS脚本)将无法读取cookie信息,防止XSS攻击产生

在express中向客户端发送cookie

设置cookie

1	res.cookie(name,value,[,options]);

参数	chrome对应属性	类型	说明	示例
domain	Domain	String	域名，默认是当前域名	{domain:’a.zfpx.cn’}
path	Path	String	路径，默认是/	{path:’/visit’}
expires	Expires	Date	过期时间，如果没以有指定或为0表示当前会话有效	{expires:new Date(Date.now()+20*1000)}
maxAge	Max-Age	Number	有效时间(单位是毫秒)	{maxAge:20*1000}
httpOnly	HTTP	Boolean	不能通过浏览器javascript访问	{httpOnly:true}
secure	Secure	String	只通过https协议访问

获取cookie

使用cookie-parse中间件

1	npm install cookie-parser --save

app.use(require('cookie-parser')());    
response.cookie(key,value)              //在响应中向客户端设置cookie
request.cookies                         //获取请求中的cookie对象
response.clearCookie('username')        //清除cookie

var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();
/**
 * 如果要加密的话 cookieParser里要指定密码，而且signed要等于true res.cookie('name','zfpx',{signed:true});
 */
app.use(cookieParser('zfpx'));
app.get('/write',function(req,res){
    //1.普通设置
    //res.cookie('name','value');
    //2.设置域名
    //res.cookie('name','zfpx',{domain:'a.zfpx.cn'});
    //3.设置路径
    //res.cookie('name','zfpx',{path:'/visit'});
    //4.过期时间
    //res.cookie('name','zfpx',{expires:new Date(Date.now()+20*1000)});//毫秒
    //res.cookie('name','zfpx',{maxAge:20*1000});//过期时间 毫秒
    //httpOnly true还是false无意义 document.cookie取不到
    //res.cookie('name','zfpx',{httpOnly:true});
    res.cookie('age','123',{signed:true});
    res.end('ok');
});
app.get('/read',function(req,res){
    console.log(req.signedCookies);
    res.send(req.cookies);
});
//记录这是客户端的第几次访问
app.get('/visit',function(req,res){
    res.cookie('count',isNaN(req.cookies.count)?0:parseInt(req.cookies.count)+1);
    res.send(req.cookies);
});
app.listen(9090);

cookie原理分析

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
大专栏  Cookie class="line">31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64

function (secret){
  return function (req, res, next){
    req.secret = secret;  
    if (!req.headers.cookie) {
        return next();
    }
    req.cookies =  require('querystring').parse(req.headers.cookie,'; ','=');
    if(req.secret){
        req.signedCookies = {};
        for(let attr in req.cookies){
                let val = req.cookies[attr];
                req.signedCookies[attr] = unsign(val, secret);
            }
        }
    }
    next();
  }
}
function cookie(name, val, options) {
    var opt = options || {};
    val = encodeURIComponent(val);
    if(opt.secret){
        var secret = this.req.secret;
        val = sign(val,this.secret);
    }
    var pairs = [name + '=' + value];
    if (null != opt.maxAge) {
        var maxAge = opt.maxAge - 0;
        if (isNaN(maxAge)) throw new Error('maxAge should be a Number');
        pairs.push('Max-Age=' + Math.floor(maxAge));
    }
    if (opt.domain) {
        pairs.push('Domain=' + opt.domain);
    }
    if (opt.path) {
        pairs.push('Path=' + opt.path);
    }
    if (opt.expires) pairs.push('Expires=' + opt.expires.toUTCString());
    if (opt.httpOnly) pairs.push('HttpOnly=true');
    if (opt.secure) pairs.push('Secure=true');
    return pairs.join('; ');
}
var crypto = require('crypto');
exports.sign = function(val, secret){
  return val + '.' + crypto
    .createHmac('sha256', secret)
    .update(val)
    .digest('base64')
    .replace(/=+$/, '');
};
exports.unsign = function(val, secret){
  var str = val.slice(0, val.lastIndexOf('.'))
    , mac = exports.sign(str, secret);
  return mac == val ? str : false;
};

权限控制

var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();
app.set('view engine','html');
app.engine('html',require('ejs').__express);
app.set('views',__dirname);
app.use(cookieParser());
function checkUser(req,res,next){
    if(req.cookies && req.cookies.username)
      next();
    else
      res.redirect('/');
}
//进入登录页
app.get('/',function(req,res){
    res.render('index');
});
//登录
app.get('/login',function(req,res){
    res.cookie('username',req.query.username,{httpOnly:true});
    res.redirect('/user');
});
//用户页面
app.get('/user',checkUser,function(req,res){
    res.render('user',{username:req.cookies.username});
});
//用户退出
app.get('/logout',function(req,res){
    res.clearCookie('username');//清除cookie
    res.redirect('/');
});
app.listen(8080);

cookie使用注意事项

可能被客户端篡改,使用前验证合法性
不要存储敏感数据,比如账户用户密码,账户余额
使用httpOnly保证安全
尽量减少cookie的体积
设置正确的domain和path,减少数据传输

标签：let 页面 hmac 影响 name 响应头 dex 篡改 ref

原文地址：https://www.cnblogs.com/lijianming180/p/12327504.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行