[導讀]當設置為true時,表示創建的 Cookie 會被以安全的形式向服務器傳輸,也就是只能在 HTTPS 連接中被瀏覽器傳遞到服務器端進行會話驗證,如果是 HTTP 連接則不會傳遞該信息,所以不會被竊取到Cookie 的具體內容。
一、Cookie常用屬性
一個Cookie包含以下信息:
1)Cookie名稱,Cookie名稱必須使用只能用在URL中的字符,一般用字母及數字,不能包含特殊字符,如有特殊字符想要轉碼。如js操作cookie的時候可以使用escape()對名稱轉碼。
2)Cookie值,Cookie值同理Cookie的名稱,可以進行轉碼和加密。
3)Expires,過期日期,一個GMT格式的時間,當過了這個日期之后,瀏覽器就會將這個Cookie刪除掉,當不設置這個的時候,Cookie在瀏覽器關閉后消失。
4)Path,一個路徑,在這個路徑下面的頁面才可以訪問該Cookie,一般設為“/”,以表示同一個站點的所有頁面都可以訪問這個Cookie。
5)Domain,子域,指定在該子域下才可以訪問Cookie,例如要讓Cookie在a.test.com下可以訪問,但在b.test.com下不能訪問,則可將domain設置成a.test.com。
6)Secure,安全性,指定Cookie是否只能通過https協議訪問,一般的Cookie使用HTTP協議既可訪問,如果設置了Secure(沒有值),則只有當使用https協議連接時cookie才可以被頁面訪問。
7)HttpOnly,如果在Cookie中設置了"HttpOnly"屬性,那么通過程序(JS腳本、Applet等)將無法讀取到Cookie信息。
注意:上圖為在w3shool上為setcookie語法,並沒有顯示7 httponly哦,各自版本支持問題。
一、屬性說明:
1 secure屬性
當設置為true時,表示創建的 Cookie 會被以安全的形式向服務器傳輸,也就是只能在 HTTPS 連接中被瀏覽器傳遞到服務器端進行會話驗證,如果是 HTTP 連接則不會傳遞該信息,所以不會被竊取到Cookie 的具體內容。
2 HttpOnly屬性
如果在Cookie中設置了"HttpOnly"屬性,那么通過程序(JS腳本、Applet等)將無法讀取到Cookie信息,這樣能有效的防止XSS攻擊。
二、各種瀏覽器查看cookie方法
示例:修改《web攻擊之一:XSS跨站腳本》里的示例一里增加如下紅色背景的代碼如下:
package com.dxz.web.controller; import javax.servlet.http.Cookie; import javax.servlet.http.HttpServletResponse; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RequestMethod; import org.springframework.web.bind.annotation.RequestParam; import org.springframework.web.servlet.ModelAndView; @Controller public class loginController { @RequestMapping(value="/login",method=RequestMethod.GET) public ModelAndView helloWorld(@RequestParam("nick") String nick, HttpServletResponse response){ System.out.println(nick + " login"); ModelAndView mv = new ModelAndView(); mv.addObject("message", nick); mv.setViewName("xss2"); Cookie hit=new Cookie("hitCounter","1"); hit.setHttpOnly(true);//如果設置了"HttpOnly"屬性,那么通過程序(JS腳本、Applet等)將無法訪問該Cookie hit.setMaxAge(60*60);//設置生存期為1小時 //hit.setDomain("www.duanxz.cn");//子域,在這個子域下才可以訪問該Cookie //hit.setPath("/hello");//在這個路徑下面的頁面才可以訪問該Cookie //hit.setSecure(true);//如果設置了Secure,則只有當使用https協議連接時cookie才可以被頁面訪問 response.addCookie(hit); return mv; } }
再訪問
http://localhost:8080/SpringWebTraining/login?nick=%22%2F%3Cscript%3Ealert%28%22haha%22%29%3C%2Fscript%3E%3C%21-
IE11:
fiddler2:
三、SpringMVC對cookie的操作
cookie相關說明:
1、cookie由服務器端創建,然后添加到HttpServletResponse中發送給客戶端(瀏覽器)。
2、可以添加多個cookie鍵值對。
3、cookie由鍵值名和鍵值組成。“相同domain和path”中的鍵值名不能重復,添加鍵值名重名的鍵值對會覆蓋上一個同名的鍵值對。
4、添加cookie時要指定cookie所在域(setPath),指定存在時長(setMaxAge)。
4、服務端創建好cookie后提交給客戶端,之后瀏覽器的每次請求(HttpServletRequest)里都會攜帶“cookie數組”。
5、springmvc有兩種方式獲取:(1)在控制器中通過注解@CookieValue(鍵值名),獲取指定某個cookie。(2)通過HttpServletRequest中的getcookies方法獲取cookie數組,然后迭代里面的每一個cookie鍵值對。
session相關說明:
1、服務器會根據客戶端的請求(HttpServletRequest)創建session(request.getSession())。
2、每一個session都有一個唯一的標示“sessionID”,可通過.getId()獲得。
3、session是存儲在服務器端的,每一個session都有一個id,當創建一個session后,會將該sessionID存放到此次訪問的cookie中,當下次客戶端的訪問到來需要提取服務器中的session時,會根據訪問中cookie里的sessionID值來找到服務器中的具體session。
4、服務器會把長時間沒有活動的Session從服務器內存中清除,此時Session便失效。Tomcat中Session的默認失效時間為20分鍾。
5、訪問html等靜態資源時不會創建session
相關操作代碼:
//讀取cookie數組,之后迭代出各個cookie public void showCookies(HttpServletRequest request){ Cookie[] cookies = request.getCookies();//根據請求數據,找到cookie數組 if (null==cookies) {//如果沒有cookie數組 System.out.println("沒有cookie"); } else { for(Cookie cookie : cookies){ System.out.println("cookieName:"+cookie.getName()+",cookieValue:"+ cookie.getValue()); } } } //創建cookie,並將新cookie添加到“響應對象”response中。 public void addCookie(HttpServletResponse response){ Cookie cookie = new Cookie("name_test","value_test");//創建新cookie cookie.setMaxAge(5 * 60);// 設置存在時間為5分鍾 cookie.setPath("/");//設置作用域 response.addCookie(cookie);//將cookie添加到response的cookie數組中返回給客戶端 } //修改cookie,可以根據某個cookie的name修改它(不只是name要與被修改cookie一致,path、domain必須也要與被修改cookie一致) public void editCookie(HttpServletRequest request,HttpServletResponse response){ Cookie[] cookies = request.getCookies(); if (null==cookies) { System.out.println("沒有cookies"); } else { for(Cookie cookie : cookies){ //迭代時如果發現與指定cookieName相同的cookie,就修改相關數據 if(cookie.getName().equals("name_test")){ cookie.setValue("new_value");//修改value cookie.setPath("/"); cookie.setMaxAge(10 * 60);// 修改存活時間 response.addCookie(cookie);//將修改過的cookie存入response,替換掉舊的同名cookie break; } } } } //刪除cookie public void delCookie(HttpServletRequest request,HttpServletResponse response){ Cookie[] cookies = request.getCookies(); if (null==cookies) { System.out.println("沒有cookie"); } else { for(Cookie cookie : cookies){ //如果找到同名cookie,就將value設置為null,將存活時間設置為0,再替換掉原cookie,這樣就相當於刪除了。 if(cookie.getName().equals("name_test")){ cookie.setValue(null); cookie.setMaxAge(0); cookie.setPath("/"); response.addCookie(cookie); break; } } } }
附上js操作cookie的方法:
JS設置cookie:
假設在A頁面中要保存變量username的值("jack")到cookie中,key值為name,則相應的JS代碼為:
document.cookie="name="+username;
JS讀取cookie:
假設cookie中存儲的內容為:name=jack;password=123
則在B頁面中獲取變量username的值的JS代碼如下:
var username=document.cookie.split(";")[0].split("=")[1]; //JS操作cookies方法! //寫cookies function setCookie(name,value) { var Days = 30; var exp = new Date(); exp.setTime(exp.getTime() + Days*24*60*60*1000); document.cookie = name + "="+ escape (value) + ";expires=" + exp.toGMTString(); }
讀取cookies
function getCookie(name) { var arr,reg=new RegExp("(^| )"+name+"=([^;]*)(;|$)"); if(arr=document.cookie.match(reg)) return unescape(arr[2]); else return null; }
刪除cookies
function delCookie(name) { var exp = new Date(); exp.setTime(exp.getTime() - 1); var cval=getCookie(name); if(cval!=null) document.cookie= name + "="+cval+";expires="+exp.toGMTString(); } //使用示例 setCookie("name","hayden"); alert(getCookie("name")); //如果需要設定自定義過期時間 //那么把上面的setCookie 函數換成下面兩個函數就ok; //程序代碼 function setCookie(name,value,time) { var strsec = getsec(time); var exp = new Date(); exp.setTime(exp.getTime() + strsec*1); document.cookie = name + "="+ escape (value) + ";expires=" + exp.toGMTString(); } function getsec(str) { alert(str); var str1=str.substring(1,str.length)*1; var str2=str.substring(0,1); if (str2=="s") { return str1*1000; } else if (str2=="h") { return str1*60*60*1000; } else if (str2=="d") { return str1*24*60*60*1000; } } //這是有設定過期時間的使用示例: //s20是代表20秒 //h是指小時,如12小時則是:h12 //d是天數,30天則:d30 setCookie("name","hayden","s20");