好程式設計師web前端分享Cookie知識
好程式設計師web前端分享Cookie知識,今天小編為大家帶來了一篇新手必看乾貨,接下來讓我們一起來看一看吧。
一、Cookie的出現
瀏覽器和伺服器之間的通訊少不了HTTP協議,但是因為HTTP協議是無狀態的,所以伺服器並不知道上一次瀏覽器做了什麼樣的操作,這樣嚴重阻礙了互動式Web 應用程式的實現。
針對上述的問題,網景公司的程式設計師創造了Cookie。
二、Cookie的傳輸
伺服器端在實現Cookie標準的過程中,需要對任意HTTP請求傳送Set-Cookie HTTP頭作為響應的一部分:
1. Set-Cookie: name=value; expires=Tue, 03-Sep-2019 14:10:21 GMT; path=/; domain=.xxx.com;
瀏覽器端會儲存這樣的Cookie,並且為之後的每個請求新增Cookie HTTP請求頭髮送回伺服器:
1. Cookie: name=value
伺服器通過驗證Cookie值,來判斷瀏覽器傳送請求屬於哪一個使用者。
三、瀏覽器中的Cookie
瀏覽器中的Cookie主要由以下幾部分組成:
· 名稱:Cookie唯一的名稱,必須經過URL編碼處理。(同名會出現覆蓋的情況)
· 值:必須經過URL編碼處理。
· 域(domain):預設情況下cookie在當前域下有效,你也可以設定該值來確保對其子域是否有效。
· 路徑(path):指定Cookie在哪些路徑下有效,預設是當前路徑下。
· 失效時間(expires):預設情況下,瀏覽器會話結束時會自動刪除Cookie;也可以設定一個GMT格式的日期,指定具體的刪除日期;如果設定的日期為以前的日期,那麼Cookie會立即刪除。
· 安全標誌(secure):指定之後只允許Cookie傳送給https協議。
瀏覽器在傳送請求時,只會將名稱與值新增到請求頭的Cookie欄位中,傳送給服務端。
瀏覽器提供了一個非常蹩腳的API來操作Cookie:
1. document.cookie
通過上述方法可以對該Cookie進行寫操作,每一次只能寫入一條Cookie字串:
1. document.cookie = 'a=1; secure; path=/'
通過該方法還可以進行Cookie的讀操作:
1. document.cookie // "a=1"
由於上述方法操作Cookie非常的不直觀,一般都會寫一些函式來簡化Cookie讀取、設定和刪除操作。
對於Cookie的設定操作中,需要以下幾點:
對於名稱和值進行URL編碼處理,也就是採用JavaScript中的encodeURIComponent()方法; expires要求傳入GMT格式的日期,需要處理為更易書寫的方式,比如:設定秒數的方式; 注意只有的屬性名的secure;
每一段資訊需要採用分號加空格。
1. function setCookie (key, value, attributes) {
2. if (typeof document === 'undefined') {
3. return
4. }
5. attributes = Object.assign({}, {
6. path: '/'
7. }, attributes)
8.
9. let { domain, path, expires, secure } = attributes
10.
11. if (typeof expires === 'number') {
12. expires = new Date(Date.now() + expires * 1000)
13. }
14. if (expires instanceof Date) {
15. expires = expires.toUTCString()
16. } else {
17. expires = ''
18. }
19.
20. key = encodeURIComponent(key)
21. value = encodeURIComponent(value)
22.
23. let cookieStr = `${key}=${value}`
24.
25. if (domain) {
26. cookieStr += `; domain=${domain}`
27. }
28.
29. if (path) {
30. cookieStr += `; path=${path}`
31. }
32.
33. if (expires) {
34. cookieStr += `; expires=${expires}`
35. }
36.
37. if (secure) {
38. cookieStr += `; secure`
39. }
40.
41. return (document.cookie = cookieStr)
42.}
Cookie的讀操作需要注意的是將名稱與值進行URL解碼處理,也就是呼叫JavaScript中的decodeURIComponent()方法:
1. function getCookie (name) {
2. if (typeof document === 'undefined') {
3. return
4. }
5. let cookies = []
6. let jar = {}
7. document.cookie && (cookies = document.cookie.split('; '))
8.
9. for (let i = 0, max = cookies.length; i < max; i++) {
10. let [key, value] = cookies[i].split('=')
11. key = decodeURIComponent(key)
12. value = decodeURIComponent(value)
13. jar[key] = value
14. if (key === name) {
15. break
16. }
17. }
18.
19. return name ? jar[name] : jar
20.}
最後一個清除的方法就更加簡單了,只要將失效日期(expires)設定為過去的日期即可:
1. function removeCookie (key) {
2. setCookie(key, '', { expires: -1 })
3. }
介紹Cookie基本操作的封裝之後,還需要了解瀏覽器為了限制Cookie不會被惡意使用,規定了Cookie所佔磁碟空間的大小以及每個域名下Cookie的個數。
四、服務端的Cookie
相比較瀏覽器端,服務端執行Cookie的寫操作時,是將拼接好的Cookie字串放入響應頭的Set-Cookie欄位中;執行Cookie的讀操作時,則是解析HTTP請求頭欄位Cookie中的鍵值對。
與瀏覽器最大的不同,在於服務端對於Cookie的安全性操碎了心
signed
當設定signed=true時,服務端會對該條Cookie字串生成兩個Set-Cookie響應頭欄位:
1. Set-Cookie: lastTime=2019-03-05T14:31:05.543Z; path=/; httponly
2. Set-Cookie: lastTime.sig=URXREOYTtMnGm0b7qCYFJ2Db400; path=/; httponly
這裡通過再發送一條以.sig為字尾的名稱以及對值進行加密的Cookie,來驗證該條Cookie是否在傳輸的過程中被篡改。
httpOnly
服務端Set-Cookie欄位中新增httpOnly屬性,當服務端在返回的Cookie資訊中含有httpOnly欄位時,開發者是不能通過JavaScript來操縱該條Cookie字串的。
這樣做的好處主要在於面對XSS(Cross-site scripting)攻擊時,黑客無法拿到設定httpOnly欄位的Cookie資訊。
此時,你會發現localStorage相比較Cookie,在XSS攻擊的防禦上就略遜一籌了。 sameSite
在介紹這個新屬性之前,首先你需要明白:當用戶從http://a.com發起http://b.com的請求也會攜帶上Cookie,而從http://a.com攜帶過來的Cookie稱為第三方Cookie。
雖然第三方Cookie有一些好處,但是給CSRF(Cross-site request forgrey)攻擊的機會。
為了從根源上解決CSRF攻擊,sameSite屬性便閃亮登場了,它的取值有以下幾種:
· strict:瀏覽器在任何跨域請求中都不會攜帶Cookie,這樣可以有效的防禦CSRF攻擊,但是對於有多個子域名的網站採用主域名儲存使用者登入資訊的場景,每個子域名都需要使用者重新登入,造成使用者體驗非常的差。
· lax:相比較strict,它允許從三方網站跳轉過來的時候使用Cookie。
為了方便大家理解sameSite的實際效果,可以看這個例子:
1. // a.com 服務端會在訪問頁面時返回如下Cookie
2. cookies.set('foo', 'aaaaa')
3. cookies.set('bar', 'bbbbb')
4. cookies.set('name', 'cccccc')
5.
6. // b.com 服務端會在訪問頁面時返回如下Cookie
7. cookies.set('foo', 'a', { sameSite: 'strict' })
8. cookies.set('bar', 'b', { sameSite: 'lax' })
9. cookies.set('baz', 'c')
如何現在使用者在a.com中點選連結跳轉到b.com,它的請求頭是這樣的:
1. Request Headers
2.
3. Cookie: bar=b; baz=c
五、網站效能優化
Cookie在服務端和瀏覽器的通訊中,主要依靠HTTP的響應頭和請求頭傳輸的,所以Cookie會佔據一定的頻寬。
前面提到瀏覽器會為每一次HTPP請求自動攜帶上Cookie資訊,但是對於同站內的靜態資源,伺服器並不需要處理其攜帶的Cookie,這無形中便浪費了頻寬。
在最佳實踐中,一般都會將靜態資源部署到獨立的域名上,從而可以避免無效Cookie的影響。
希望本篇文章能夠對正在從事Web 前端工作和準備從事Web 前端學習的小夥