HTTP是基于TCP來實現的,而單獨拿出一個TCP連接,服務器也沒辦法確定這個TCP連接是哪個客戶端發起的(一個IP可以有多個客戶端)。所以,當服務器需要知道連接發起的客戶端時,就需要客戶端來主動告訴服務器自己是誰。這動作聽上去很簡單,但是客戶端只是瀏覽器而已。瀏覽器如果要告訴服務器自己是誰就必須先記住自己是誰。如果沒有這個記憶功能,自己都不知道自己是誰那服務器就更無法確定。所以,這時候就需要引入儲存數據的功能。
在Cookie被提出以前,HTTP只是用來做簡單的HTML數據傳輸用的。自從有了Cookie之后,HTTP是腰不酸了腿不疼了,一口氣上五樓不費勁兒。以至于普及到現在這種程度。Cookie的作用就是讓客戶端擁有記憶的能力,訪問服務器是可以對服務器做個自我介紹。客戶端上Cookie也不會平白無故的就出現了,通常是在訪問了服務器之后服務器給客戶端設置的。Cookie是在HTTP頭中傳輸的,如果非要糾結這個,我們就去找個HTTP頭來圍觀下。下面這個是一個“未經人事”的客戶端去訪問百度之后得到的HTTP響應頭。
HTTP/1.1 200 OK
Date: Wed, 05 Dec 2012 13:56:32 GMT
Server: BWS/1.0
Content-Length: 4015
Content-Type: text/html;charset=gbk
Cache-Control: private
Expires: Wed, 05 Dec 2012 13:56:32 GMT
Content-Encoding: gzip
Set-Cookie: BAIDUID=07EBE84757CE914EF14ABF072B76405E:FG=1; expires=Wed, 05-Dec-42 13:56:32 GMT; path=/; domain=.baidu.com
P3P: CP=" OTI DSP COR IVA OUR IND COM "
Connection: Keep-Alive
其它部分無視掉,只看倒數第三行的Set-Cookie,這就是服務器傳輸給客戶端的Cookie。客戶端收到這個之后就會分析這個Cookie。Cookie其實不像我們想的那么簡單,一個Cookie包含著許多信息。比如上面百度傳過來的Cookie就由4個部分組成。第一個是名稱=值,這是Cookie最基本的東西它是一個Cookie必須的,沒有它后面對這個Cookie設置的參數也就沒意義了。接著是:過期時間、路徑、域名。Cookie是保存在本地的,也就是說即使關閉了瀏覽器Cookie也不會消失,但是這樣就會讓Cookie的數量只加不減而產生冗余,所以Cookie是有時效性的。Cookie在客戶端只會被保存到過期時間為止,超過那個時間就會刪除掉。如果服務器設置Cookie的時候沒定義過期時間,那么這個Cookie就會在瀏覽器關閉時被刪除。Cookie的作用域未必是一個域名,也可以是域名下的某個目錄,所以需要用路徑來指定哪個頁面,百度使用了“/”說明是在首頁上的。首頁上的Cookie才是整個域名都可以使用的。最后還可以指定域名,這是因為,域名通常還包含子域,每個子域都是單獨的一個域。而Cookie是不能被跨域訪問的,這是當然。想想看,要是可以跨域訪問會有什么后果(那我訪問的XXX網站不全被你們知道了←_←)。百度這個Cookie是被設置到根域上的,和路徑一樣的道理,根域的Cookie在所有子域都是可以被使用的。這個域名和路徑也不是必要參數,如果服務器沒定義就會使用當前頁面的域名和路徑。
像Cookie這樣在網絡上傳來傳去的東西當然不安全,如果保存用戶的機密信息也這樣肆無忌憚就很容易泄漏。所以我們的前輩們想出了一個辦法,那就是把機密信息留在服務器不傳給客戶端,只給客戶端留下一串標識符。這個方法就是我們耳熟能詳的Session了,服務器傳給客戶端的標識符就稱為SessionID。就像上面百度那個例子一樣,BAIDUID的值我們是無法從中獲取到什么信息的。客戶端可以通過這個標識符告訴服務器哪一方機密信息是屬于它的,需要做的處理都在服務器上完成,這樣安全性就大大增加。現在主流的后端開發語言都支持Session,但是他們的支持方式和支持程度各不相同。不過有一個共同點,Session在服務器上保存的用戶數據也是有時效性的,過了某個時間這個Session保存的數據就會失效。一般把這個Session保存的數據的失效時間和SessionID的失效時間設置成一樣的。但是服務器是開發者自己來配置的,偶爾也會不同。這種情況它倆中任何一個過了失效時間都意味著這個Session失效。所以,談論Session失效時間的時候是使用SessionID和Session在服務器端保存的數據失效時間中較小的那一個。
雖然Session的安全性比Cookie高許多,但是這還是不夠安全,因為別人可以竊取用戶的SessionID冒充客戶端向服務器請求一些機密信息。這就是傳說中的XSS漏洞。前面說的Cookie禁止跨域問題就是因為這個。不僅是Cookie禁止跨域,除了一些特定的HTML標簽外,客戶端上的Web程序都是禁止跨域的。因為,只要不允許跨域,Cookie就不會在訪問別的網站時泄漏。當然,如果你的電腦本身中毒了,那就真沒辦法了。瀏覽器對跨域的限制這么嚴格當然也會帶來一些其它問題,所以跨域這個東西本身在Web前端中也是一個值得研究的課題,這里就不細說了。
新聞名稱:Cookie和Session的作用
文章鏈接:http://newbst.com/news13/310113.html
成都網站建設公司_創新互聯,為您提供定制網站、定制開發、品牌網站制作、標簽優化、商城網站、做網站
廣告
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源:
創新互聯