Http Cookies 和相關概念

原創 花不掉泪 2020-06-07 06:23

Http Cookies 和相關概念

概述

Http 是一種無狀態的協議,而且最早的時候服務器無法通過某一個連接確定是哪一個客戶端連接上了服務器,所以Web開發者,通過改造Http協議,在Http協議增加了標誌客戶端的一些首部字段。

然而,IP地址可以一定程度上幫助服務器標誌客戶端,但是實際上存在以下一些情況(不完整列舉)

客戶端使用了代理吳服務器,這樣的話,訪問服務器的就是代理服務器的IP地址。
有些互聯網服務提供商給用戶分配的是動態IP,這樣的用戶每次登陸的IP可能不一致。
使用了互聯網安全防火牆,這些要通過網絡地址轉換,所以服務器拿到的IP也不是真實的客戶端IP地址。
Http代理和網關會打開一些原始的 Tcp連接,所以IP也不是真實的。

這裏寫圖片描述

前述:

沒有使用 Cookies 字段之前,實現Cookies類型功能的,又由誰來實現?下面就看一下這些相關的介紹。

Form 字段

包含了用戶的電子郵件地址,一般這個是隱私信息,不會用來標誌客戶端,我們參考具體的get 和 post 請求,可以看到都沒有使用 Form 這個字段

User-Agent 字段

這個字段是最常使用的字段,它標誌了客戶端的一些信息,例如客戶端瀏覽器類型相關信息(版本,內核等),還有操作系統信息

例如我通過火狐瀏覽器,百度搜索一個漢字,下面是我的請求體頭部的 User-Agent

“Mozilla/5.0 (Windows NT 6.2; WOW64; rv:39.0) Gecko/20100101 Firefox/39.0”

Referer 字段

這個字段記錄了客戶端從哪個網址跳轉到服務器,能記錄客戶端的訪問記錄。能夠記錄上一個頁面的 URL地址,能夠在一定程度上標誌客戶端。

Authorization 字段

服務器爲了標誌不同的客戶,可以通過要求客戶在登陸的時候,輸入賬號密碼,其實這就是最早的登陸。下面選取了《Http權威指南》的圖示來說明。

這裏寫圖片描述

首先是瀏覽器發起對服務器的訪問請求
服務器由於無法識別當前客戶,所以會返回 401 Login Required 的返回碼(也就是狀態碼,最常見的狀態碼是 200),並添加www-Authentication 首部,要求用戶登陸,瀏覽器這時候會顯示登陸框。(爲了不讓用戶重複登陸,瀏覽器會記住用戶的登陸信息,再下一次的同一站點訪問的時候,會自動加上登陸信息,例如你在某個頁面登陸了淘寶,然後在之前沒有登陸賬號的淘寶頁面刷新一下,就會發現自己處於登陸狀態)
在用戶登陸之後,會將登陸信息存儲在 請求體的頭部的 Authorization 字段中,然後在整個會話期間,都保存這個登陸信息。(關閉瀏覽器會話結束)

tip:這個字段可以很好的解決用戶多次登陸的問題,但是如果你在瀏覽器訪問多個站點,多個站點使用了不同的賬號密碼,這樣的話,這個字段就不能幫助我們解決多個站點的登陸問題。

另外在後來的發展中,服務器可以通過特定的 URL 來區分不同客戶,具體的實現機制是在,客戶端訪問完服務器之後,給特定的 URL 加上不同的後綴。這種URL成爲 胖 URL。

Cookies 來了

然而,隨着技術的發展,上面的字段用來標誌用戶都不太合適,所以Web開發者,就使用了一種全新的字段,Cookies 字段。Cookies 是識別當前用戶和保持長久會話的最好字段,同時 Cookies 也影響了緩存,另外大部分瀏覽器不允許直接緩存 Cookies。

Cookies 類型

會話 Cookie 和持久 Cookie

會話 Cookie是一種臨時 Cookie,它記錄了用戶訪問站點時的偏好的設置,會話 Cookies 也是一種臨時 Cookies,用戶在退出瀏覽器的時候,會話Cookies就會被刪除了。但是持久Cookies是保存在硬盤上的,只要用戶不去手動清除就不會受到影響。

然後兩種 Cookies 的唯一區別是,它們的過期時間。通過設置 Discard 參數 或者不設置 Expires 或者 Max-Age 將作爲會話 Cookies 對待。

下圖展示了服務器添加 Cookies 的簡單過程

這裏寫圖片描述

Cookies的屬性

cookies 的域屬性
你可以在Cookies 中添加一個 Domain 屬性來控制那些站點不能看到這個 Cookies。例如,下面一種示例

這裏寫圖片描述

這裏面的話,只會將 Cookies 數值 user=”mary17” 發送給站點爲 domain 裏面數值的服務器。

Cookies 的路徑屬性

Cookies 屬性中的 path 屬性允許 Cookies 和特定的 Web服務器聯繫起來,這個屬性下列出來的所有 URL前綴都會拿到這個 Cookies。例如

這裏寫圖片描述

版本 0,又稱爲 Netscape cookies
版本 1,又稱爲 RFC 2965 Cookies

tip:這兩個 Cookies 成分都不是作爲 Http 1.1 的規範,而是一種擴展使用。

下面具體介紹一下這兩個版本的詳細信息

版本 0
這裏寫圖片描述
這裏寫圖片描述

版本 1
這裏寫圖片描述
這裏寫圖片描述

關於後續 Cookies 在客戶端的使用,會後續給出文章

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

瀏覽器輸入地址訪問網頁過程

瀏覽器輸入地址 當在瀏覽器中輸入網址的時候,瀏覽器其實就可能的匹配可能得 url 了,它會從歷史記錄,書籤等地方,找到已經輸入的字符串可能對應的 url,然後給出智能提示,讓你可以補全url地址。對於 google的chrome 的瀏覽

原創 2024-04-16 11:34:39

Python中兩種網絡編程方式:Socket和HTTP協議

本文分享自華爲雲社區《Python網絡編程實踐從Socket到HTTP協議的探索與實現》,作者:檸檬味擁抱。 在當今互聯網時代,網絡編程是程序員不可或缺的一項技能。Python作爲一種高級編程語言,提供了豐富的網絡編程庫,使得開發者能夠輕鬆

原創 2024-04-16 10:33:01

Python和Pytest實現登錄態的Cookie繞過方法詳解

1. 背景介紹 京東作爲中國最大的綜合性電商平臺之一,擁有龐大的用戶羣體和海量的商品信息。對於開發人員和測試人員來說,如何高效地進行京東網站的數據爬取和接口測試至關重要。而在進行這些操作時,登錄狀態是一個不可或缺的環節。本文將介紹如何利

原創 2024-04-09 23:26:18

Higress 基於自定義插件訪問 Redis

作者:鈺誠 簡介 基於 wasm 機制,Higress 提供了優秀的可擴展性,用戶可以基於 Go/C++/Rust 編寫 wasm 插件,自定義請求處理邏輯,滿足用戶的個性化需求,目前插件已經支持 redis 調用,使得用戶能夠編寫有狀態的

原創 2024-04-01 21:12:22

無憂微服務:如何實現大流量下新版本的發佈自由

作者:項良、十眠 微服務上雲門檻降低,用好微服務纔是關鍵 據調研數據顯示,約 70% 的生產故障是由變更引起的。在阿里雲上的企業應用如茶百道、極氪汽車和來電等,他們是如何解決變更引起的穩定性風險,實現了在白天高流量情況下應用發佈平滑無損。今

原創 2024-03-28 21:13:20

踏入IOT安全世界:DIR-815路由器多次溢出漏洞分析復現

前言 在進行IOT安全領域的學習和實踐中,經典漏洞的復現是必不可少的一環。本文將介紹一個經典漏洞,涉及到Binwalk、firmware-mod-kit、FirmAE等工具的使用,以及對DIR-815路由器中多次溢出漏洞的復現過程。 固件

原創 2024-03-26 23:52:14

O2OA(翱途)開發平臺前端安全配置建議(一)

O2OA開發平臺是一個集成了多種功能的開發環境,前端安全在其中顯得尤爲重要。前端是用戶與平臺交互的直接界面,任何安全漏洞都可能被惡意用戶利用,導致用戶數據泄露、非法操作或系統被攻擊。因此,前端安全是確保整個系統安全的第一道防線。 其次,隨着

原創 2024-03-21 22:47:41

全新架構!日誌服務 SLS 自研免登錄方案發布

知乎:靈亦 引言 很多用戶在使用日誌服務 SLS 時,採用 STS 這種免登的方式,能夠快速將日誌服務的頁面集成到三方的系統中。STS 模式是非常經典且成熟的免登方案,它的優點非常多,例如:能夠充分利用阿里雲賬號 RAM 體系、能夠通用地集

原創 2024-03-19 09:13:26

Javascript基礎知識體系化學習總結(九)存儲

Javascript基礎知識體系化學習總結(九)存儲 一、cookie 1.本身是由於瀏覽器和服務端的通信,被用來做存儲。 2.既然是借用的,那麼會存在一些問題如: 儲存量小僅僅是4K; 必須http請求時需要發送到服務器端,增加

ODST_TheSolverO5 2020-07-08 10:59:37

P18【網絡請求】15-requests處理cookie信息

#encoding: utf-8 import requests # response = requests.get('https://www.baidu.com/') # print(response.cookies.get_d

jason3586596 2020-07-07 21:10:38

node.js中的cookie和session

用慣了框架中的插件,最近在重溫node基礎模塊時也不禁在想:什麼是Cookie?什麼是Session?兩者的區別和聯繫有哪些?Node.js是否提供了相應的模塊來管理存儲Session?如果沒有提供相應模塊,我們應該如何實現一個類

云小梦 2020-07-07 20:51:19

HTTP協議簡單認識

Http協議的認識HTPP協議的定義:全稱 Hyper text transfer protocol (超文本傳輸協議),主要作用是客戶端和服務器端的交互,實現從WWW將文本傳輸到客戶端進行渲染顯示,就是我們常說的c/s,客戶端和服務器

匿名程序员老师 2020-07-07 19:51:36

【計算機網絡】Web 訪問中的 cookie, seesion, token

Web 訪問中的 cookie, seesion, token cookie HTTP cookie(也叫 Web Cookie 或瀏覽器 Cookie)是服務器發送到用戶瀏覽器並保存在本地的一小塊數據,它會在瀏覽器下次向同一服務

Wyman蚊子 2020-07-07 17:02:51

兩個SpringSecurity本地項目登錄衝突問題

問題產生 因爲最近要做資源認證服務器,就搞了兩個集成SpringSecurity的項目,在開啓了loginPage("/portal/login")後,登錄的時候發現了一個問題:8085端口的項目A和8080端口的項目B不可以同時

&Low_Key 2020-07-07 17:01:12

瀏覽器本地存儲cookie、localStorage 與 sessionStorage

首先來了解下HTTP協議 http:超文本傳輸協議,無狀態,同一個客戶端的這次請求和上次請求沒有對應關係。 https:超文本傳輸安全協議,HTTP + SSL / TLS,也就是在 HTTP 上又加了一層處理加密信息的模塊。服

青颜的天空 2020-07-07 13:19:25