Cookie主要屬性
Cookie主要屬性:
- path
- domain
- max-age
- expires:是expires的補充,現階段有兼容性問題:IE低版本不支持,所以一般不單獨使用
- secure
- httponly
- JS不能讀寫HttpOnly Cookie
- 屬性之間使用英文分號和空格("; ")連接
瀏覽器存放cookie包含的字段:
- name、value
- expiry-time:由Cookie中的expires和max-age產生
- domain、path
- creation-time、last-access-time
- persistent-flag:持久化標記,默認為false,表示是session cookie
- secure-only-flag
- http-only-flag
- host-only-flag:Cookie中不包含Domain屬性或者Domain為空或者不合法時為true。
HttpOnly屬性——防止程序獲取cookie后進行攻擊
- 如果Cookie中設置了HttpOnlhy屬性,那么通過程序(JS腳本、Applet等)將無法讀取到Cookie信息,能有效的防止XSS攻擊。
Secure——防止信息傳輸過程中的泄露
- true —— 只能在HTTPS連接中傳輸,HTTP連接不會傳輸,所以不會被竊取到Cookie的具體內容
- false —— HTTP、HTTPS連接都可以傳輸
domain域名帶.與否的區別
- 若domain不帶點,只有當前域名的服務器可以獲取到cookie,子域名拿不到cookie
- 若domain帶點,當前域名&子域名都可以拿到cookie
- Chrome——如果顯示聲明,不管domain帶不帶點,都是帶點存儲;只有非顯示聲明domain的cookie,瀏覽器存儲才是不帶點
Session Cookie
- Session Cookie是沒有expiry date的,會話結束也會一並刪除。