從事 Web 開發已有近17個月;在學以致用的工作學習裡,對於不怎麼使用的部分,多少有些霧裡探花的窘迫感~差不多是瞭解一二,然而又非真切的明晰;這就使得再用的時候,總要去再搜尋一番;如此頗為難受,倒不如總結紀錄下來,一方面加深認知,也易便於查閱;對於某相關技術,不斷學習、運用、總結、更新,積澱過後也能對別人給予幫助。寫博,真是一件值得去做的事。
背景
在HTTP協議的定義中,採用了一種機制來記錄客戶端和伺服器端互動的資訊,這種機制被稱為cookie,cookie規範定義了伺服器和客戶端互動資訊的格式、生存期、使用範圍、安全性。
在JavaScript中可以通過 document.cookie 來讀取或設定這些資訊。由於 cookie 多用在客戶端和服務端之間進行通訊,所以除了JavaScript以外,服務端的語言(如PHP)也可以存取 cookie。
Cookie詳解
Cookie在遠端瀏覽器端儲存資料並以此跟蹤和識別使用者的機制。從實現上說,Cookie是儲存在客戶端上的一小段資料,瀏覽器(即客戶端)通過HTTP協議和伺服器端進行Cookie互動。
Cooke獨立於語言存在,嚴格地說,Cookie並不是由PHP、Java等語言實現的,而是由這些語言對Cookie進行間接操作,即傳送HTTP指令,瀏覽器收到指令便操作Cookie並返回給伺服器。因此,Cookie是由瀏覽器實現和管理的。舉例說,PHP並沒有真正設定過Cookie,只是發出指令讓瀏覽器來做這件事。PHP中可以使用setcookie() 或 setrawcookie() 函式設定Cookie。setcookie()最後一個引數HttpOnly設定了後,JavaScript就無法讀取到這個Cookie。
設定Cookie時需注意:①函式有返回值,false失敗,true成功,成功僅供參考,不代表客戶端一定能接收到;②PHP設定的Cookie不能立即生效,要等下一個頁面才能看到(Cookie從伺服器傳給瀏覽器,下個頁面瀏覽器才能把設定的Cookie傳回給伺服器);如果是JavaScript設定的,是立即生效的;③Cookie沒有顯示的刪除函式,可以設定expire過期時間,自動觸發瀏覽器的刪除機制。
Cookie是HTTP頭的一部分,即現傳送或請求Cookie,才是data域;setcookie()等函式必須在資料之前呼叫,這和header() 函式是相同的。不過也可以使用輸出緩衝函式延遲指令碼的輸出,知道設定好所有Cookie和其他HTTP標頭。
Cookie通常用來儲存一些不是很敏感的資訊,或者進行登入控制,也可用來記住使用者名稱、記住免密碼登入、防止刷票等。每個域名下允許的Cookie是有限制的,根據瀏覽器這個限制也不同。Cookie不是越多越好,它會增加寬頻,增加流量消耗,所以不要濫用Cookie;不要把Cookie當作客戶端的儲存器來用。一個域名的每個Cookie限制以4千位元組(KB)鍵值對的形式儲存。
還有一種Cookie是Flash建立的,成為Flash Shard Object,又稱Flash Cookie,即使清空瀏覽器所有隱私資料,這類頑固的Cookie還會存在硬碟上,因為它只受Flash管理,很多網站採用這種技術識別使用者。
Cookie跨域,主要是為了統一應用平臺,實現單點登入;需使用P3P協議(Platform for Privacy Preferences),通過P3P使使用者自己可以指定瀏覽器的隱私策略,達到儲存第三方Cookie的目的,只需要在響應使用者請求時,在HTTP的頭資訊中增加關於P3P的配置資訊就可以了。Cookie跨域涉及兩個不同的應用,習慣上稱為第一方和第三方。第三方通常是來自別人的廣告、或Iframe別的網站的URL,這些第三方網站可能使用的Cookie。
Cookie格式
Cookie中儲存的資訊都是文字資訊,在客戶端和伺服器端互動過程中,cookie資訊被附加在HTTP訊息頭中傳遞,cookie的資訊由鍵/值對組成。下面是一個HTTP頭中cookie的例子:
Set-Cookie: key = value; Path=/
Cookie中存放的資訊包含cookie本身屬性和使用者自定義屬性,一個cookie只能包含一個自定義鍵/值對。Cookie本身屬性有”Comment” 、”Domain”、”Max-Age”、”Path”、”Secure”、”Version”。
Comment 屬性是cookie的產生著對該cookie的描述;
Domain 屬性定義可訪問該cookie的域名,對一些大的網站,如果希望cookie可以在子網站中共享,可以使用該屬性。例如設定Domain為 .bigsite.com ,則sub1.bigsite.com和sub2.bigsite.com都可以訪問已儲存在客戶端的cookie,這時還需要將Path設定為/。
Max-Age 屬性定義cookie的有效時間,用秒計數,當超過有效期後,cookie的資訊不會從客戶端附加在HTTP訊息頭中傳送到服務端。
Path 屬性定義網站上可以訪問cookie的頁面的路徑,預設狀態下Path為產生cookie時的路徑,此時cookie可以被該路徑以及其子路徑下的頁面訪問;可以將Path設定為/,使cookie可以被網站下所有頁面訪問。
Secure 屬性值定義cookie的安全性,當該值為true時必須是HTTPS狀態下cookie才從客戶端附加在HTTP訊息中傳送到服務端,在HTTP時cookie是不傳送的;Secure為false時則可在HTTP狀態下傳遞cookie,Secure預設為false。
Version 屬性定義cookie的版本,由cookie的建立者定義。
Cookie的建立
Cookie可以在伺服器端建立,然後cookie資訊附加在HTTP訊息頭中傳到客戶端,如果cookie定義了有效期,則本儲存在客戶端本地磁碟。儲存cookie的檔案是一個文字檔案,因此不用擔心此檔案中的內容會被執行而破壞客戶的機器。支援Web端開發的語言都有建立cookie的方法或函式,以及設定cookie屬性和新增自定義屬性的方法或函式,最後是將cookie附加到返回客戶端的HTTP訊息頭中。
建立cookie時如果不指定生存有效時間,則cookie只在瀏覽器關閉前有效,cookie會在伺服器端和客戶端傳輸,但是不會儲存在客戶機的磁碟上,開啟新的瀏覽器將不能獲得原先建立的cookie資訊。
Cookie資訊儲存在本地時會儲存到當前登入使用者專門目錄下,儲存的cookie檔名中會包含建立cookie所在頁面網站的域名,當瀏覽器再次連線該網站時,會從本機cookie存放目錄下選出該網站的有效cookie,將儲存在其中的資訊附加在HTTP訊息頭中傳送到伺服器端,伺服器端程式就可根據上次儲存在cookie的資訊為訪問客戶提供“記憶”或個性化服務。
Cookie除了可以在伺服器端建立外,也可以在客戶端的瀏覽器中用客戶端指令碼(如javascript)建立。客戶端建立的cookie的性質和伺服器端建立的cookie一樣,可以儲存在本地,也可以被傳送到伺服器端被伺服器程式讀取。
Cookie 基礎知識
- cookie 是有大小限制的,大多數瀏覽器支援最大為 4096 位元組的 Cookie(具體會有所差異,可以使用這個好用的工具:http://browsercookielimits.squawky.net/ 進行測試);如果 cookie 字串的長度超過最大限制,則該屬性將返回空字串。
- 由於 cookie 最終都是以檔案形式存放在客戶端計算機中,所以檢視和修改 cookie 都是很方便的,這就是為什麼常說 cookie 不能存放重要資訊的原因。
- 每個 cookie 的格式都是這樣的:cookieName = Vaue;名稱和值都必須是合法的標示符。
- cookie 是存在 有效期的。在預設情況下,一個 cookie 的生命週期就是在瀏覽器關閉的時候結束。如果想要 cookie 能在瀏覽器關掉之後還可以使用,就必須要為該 cookie 設定有效期,也就是 cookie 的失效日期。
- alert(typeof document.cookie)結果是 string.
- cookie 有域和路徑這個概念。域就是domain的概念,因為瀏覽器是個注意安全的環境,所以不同的域之間是不能互相訪問 cookie 的(當然可以通過特殊設定的達到 cookie 跨域訪問)。路徑就是routing的概念,一個網頁所建立的 cookie 只能被與這個網頁在同一目錄或子目錄下得所有網頁訪問,而不能被其他目錄下得網頁訪問(這句話有點繞,一會看個例子就好理解了)。
- 其實建立cookie的方式和定義變數的方式有些相似,都需要使用 cookie 名稱和 cookie 值。同個網站可以建立多個 cookie ,而多個 cookie 可以存放在同一個cookie 檔案中。
- cookie 存在兩種型別:①:你瀏覽的當前網站本身設定的 cookie ②來自在網頁上嵌入廣告或圖片等其他域來源的 第三方 cookie (網站可通過使用這些 cookie 跟蹤你的使用資訊)
- cookie 有兩種清除方式:①:通過瀏覽器工具清除 cookie (有第三方的工具,瀏覽器自身也有這種功能) ②通過設定 cookie 的有效期來清除 cookie.注:刪除 cookie 有時可能導致某些網頁無法正常執行。
- 瀏覽器可以通過設定來接受和拒絕訪問 cookie。出於功能和效能的原因考慮,建議儘量降低 cookie 的使用數量,並且要儘量使用小 cookie。
Cookie的使用
從cookie的定義可以看到,cookie一般用於採用HTTP作為進行資訊交換協議的客戶端和伺服器端用於記錄需要持久化的資訊。一般是由伺服器端建立要記錄的資訊,然後傳遞到客戶端,由客戶端從HTTP訊息中取出資訊,儲存在本機磁碟上。當客戶端再次訪問伺服器端時,從本機磁碟上讀出原來儲存的資訊,附加到HTTP訊息中傳送給伺服器端,伺服器端從HTTP訊息中讀取資訊,根據實際應用的需求進行進一步的處理。
伺服器端cookie的建立和再次讀取功能通常由伺服器端程式語言實現,客戶端cookie的儲存、讀取一般由瀏覽器來提供,並且對cookie的安全性方面可以進行設定,如是否可以在本機儲存cookie。
由於cookie資訊以明文方式儲存在文字檔案中,對一些敏感資訊如口令、銀行帳號如果要儲存在本地cookie檔案中,最好採用加密形式。
與cookie類似的另一個概念是會話(Session),會話一般是記錄客戶端和伺服器端從客戶端瀏覽器連線上伺服器端到關閉瀏覽器期間的持久資訊。會話一般儲存在記憶體中,不儲存到磁碟上。會話可以通過cookie機制來實現,對於不支援cookie的客戶端,會話可以採用URL重寫方式來實現。可以將會話理解為記憶體中的cookie。
使用會話會對系統伸縮性造成負面影響,當伺服器端要在很多臺伺服器上同步複製會話物件時,系統效能會受到較大傷害,尤其會話物件較大時。這種情況下可以採用cookie,將需要記錄的資訊儲存在客戶端,每次請求時傳送到伺服器端,伺服器端不保留狀態資訊,避免在伺服器端多臺機器上覆制會話而造成的效能下降。
Cookie 基本操作
對於 Cookie 得常用操作有,存取,讀取,以及設定有效期;具體可以參照 JavaScript 操作 Cookie 一文;但,近期在前端編碼方面,皆以Vue為衝鋒利器,所以就有用到一款外掛 vue-cookie,其程式碼僅30行,堪稱精妙,讀取操作如下:
1 2 3 4 5 6 7 8 9 10 11 12 |
set: function (name, value, days) { var d = new Date; d.setTime(d.getTime() + 24*60*60*1000*days); window.document.cookie = name + "=" + value + ";path=/;expires=" + d.toGMTString(); }, get: function (name) { var v = window.document.cookie.match('(^|;) ?' + name + '=([^;]*)(;|$)'); return v ? v[2] : null; }, delete: function (name) { this.set(name, '', -1); } |
cookie 域概念
路徑能解決在同一個域下訪問 cookie 的問題,我們們接著說 cookie 實現同域之間訪問的問題。語法如下:
document.cookie = “name=value;path=path;domain=domain“
紅色的domain就是設定的 cookie 域的值。例如 “www.qq.com” 與 “sports.qq.com” 公用一個關聯的域名”qq.com”,我們如果想讓”sports.qq.com” 下的cookie被 “www.qq.com” 訪問,我們就需要用到cookie 的domain屬性,並且需要把path屬性設定為 “/“。例:
document.cookie = “username=Darren;path=/;domain=qq.com“
注:一定的是同域之間的訪問,不能把domain的值設定成非主域的域名。
cookie 安全性
通常 cookie 資訊都是使用HTTP連線傳遞資料,這種傳遞方式很容易被檢視,在控制檯下執行document.cookie
,一目瞭然;所以 cookie 儲存的資訊容易被竊取。假如 cookie 中所傳遞的內容比較重要,那麼就要求使用加密的資料傳輸。所以 cookie 的這個屬性的名稱是“secure”,預設的值為空。如果一個 cookie 的屬性為secure,那麼它與伺服器之間就通過HTTPS或者其它安全協議傳遞資料。語法如下:
document.cookie = “username=Darren;secure”
把cookie設定為secure,只保證 cookie 與伺服器之間的資料傳輸過程加密,而儲存在本地的 cookie檔案並不加密。如果想讓本地cookie也加密,得自己加密資料。
注: 就算設定了secure 屬性也並不代表他人不能看到你機器本地儲存的 cookie 資訊,所以說到底,別把重要資訊放cookie就對了。
Session詳解
Session即回話,指一種持續性的、雙向的連線。Session與Cookie在本質上沒有區別,都是針對HTTP協議的侷限性而提出的一種保持客戶端和伺服器間保持會話連線狀態的機制。Session也是一個通用的標準,但在不同的語言中實現有所不同。針對Web網站來說,Session指使用者在瀏覽某個網站時,從進入網站到瀏覽器關閉這段時間內的會話。由此可知,Session實際上是一個特定的時間概念。
使用Session可以在網站的上下文不同頁面間傳遞變數、使用者身份認證、程式狀態記錄等。常見的形式就是配合Cookie使用,實現儲存使用者登入狀態功能。和Cookie一樣,session_start() 必須在程式最開始執行,前面不能有任何輸出內容,否則會出現警告。PHP的Session預設通過檔案的方式實現,即儲存在伺服器端的Session檔案,每個Session一個檔案。
Session通過一個稱為PHPSESSID的Cookie和伺服器聯絡。Session是通過sessionID判斷客戶端使用者的,即Session檔案的檔名。sessionID實際上是在客戶端和服務端之間通過HTTP Request 和 HTTP Response傳來傳去。sessionID按照一定的演算法生成,必須包含在 HTTP Request 裡面,保證唯一性和隨機性,以確保Session的安全。如果沒有設定 Session 的生成周期, sessionID儲存在記憶體中,關閉瀏覽器後該ID自動登出;重新請求該頁面,會重新註冊一個sessionID。如果客戶端沒有禁用Cookie,Cookie在啟動Session回話的時候扮演的是儲存sessionID 和 Session 生存期的角色。Session過期後,PHP會對其進行回收。
假設客戶端禁用Cookie,可以通過URL或者隱藏表單傳遞sessionID;php.ini中把session.use_trans_sid 設成1,那麼連線後就會自己加Session的ID。
Session以檔案的形式存放在本地硬碟的一個目錄中,當比較多時,磁碟讀取檔案就會比較慢,因此把Session分目錄存放。
對於訪問量大的站點,用預設的Session儲存方式並不適合,較優的方法是用Data Base存取Session。在大流量的網站中,Session入庫存在效率不高、佔據資料庫connection資源等問題。針對這種情況,可以使用Memcached、Redis等Key-Value資料儲存方案實現高併發、大流量的Session儲存。
session與cookie的區別:
1,session 在伺服器端,cookie 在客戶端(瀏覽器)
2,session 存在在伺服器的一個檔案裡(預設),不是記憶體
3,session 的執行依賴 session id,而 session id 是存在 cookie 中的,也就是說,如果 瀏覽器禁用了 cookie ,同時 session 也會失效(當然也可以在 url 中傳遞)
4,session 可以放在 檔案,資料庫,或記憶體中都可以。
5,使用者驗證這種場合一般會用 session
因此,維持一個會話的核心就是客戶端的唯一標識,即 session id
更為詳盡的說法:
- 由於HTTP協議是無狀態的協議,所以服務端需要記錄使用者的狀態時,就需要用某種機制來識具體的使用者,這個機制就是Session.典型的場景比如購物車,當你點選下單按鈕時,由於HTTP協議無狀態,所以並不知道是哪個使用者操作的,所以服務端要為特定的使用者建立了特定的Session,用用於標識這個使用者,並且跟蹤使用者,這樣才知道購物車裡面有幾本書。這個Session是儲存在服務端的,有一個唯一標識。在服務端儲存Session的方法很多,記憶體、資料庫、檔案都有。叢集的時候也要考慮Session的轉移,在大型的網站,一般會有專門的Session伺服器叢集,用來儲存使用者會話,這個時候 Session 資訊都是放在記憶體的,使用一些快取服務比如Memcached之類的來放 Session。
- 思考一下服務端如何識別特定的客戶?這個時候Cookie就登場了。每次HTTP請求的時候,客戶端都會傳送相應的Cookie資訊到服務端。實際上大多數的應用都是用 Cookie 來實現Session跟蹤的,第一次建立Session的時候,服務端會在HTTP協議中告訴客戶端,需要在 Cookie 裡面記錄一個Session ID,以後每次請求把這個會話ID傳送到伺服器,我就知道你是誰了。有人問,如果客戶端的瀏覽器禁用了 Cookie 怎麼辦?一般這種情況下,會使用一種叫做URL重寫的技術來進行會話跟蹤,即每次HTTP互動,URL後面都會被附加上一個諸如 sid=xxxxx 這樣的引數,服務端據此來識別使用者。
- Cookie其實還可以用在一些方便使用者的場景下,設想你某次登陸過一個網站,下次登入的時候不想再次輸入賬號了,怎麼辦?這個資訊可以寫到Cookie裡面,訪問網站的時候,網站頁面的指令碼可以讀取這個資訊,就自動幫你把使用者名稱給填了,能夠方便一下使用者。這也是Cookie名稱的由來,給使用者的一點甜頭。
所以,總結一下:
Session是在服務端儲存的一個資料結構,用來跟蹤使用者的狀態,這個資料可以儲存在叢集、資料庫、檔案中;
Cookie是客戶端儲存使用者資訊的一種機制,用來記錄使用者的一些資訊,也是實現Session的一種方式。
Cookie與Session問答
- Cookie執行在客戶端,Session執行在服務端,對嗎?
A:不完全正確。Cookie是執行在客戶端,有客戶端進行管理;Session雖然是執行在伺服器端,但是sessionID作為一個Cookie是儲存在客戶端的。 - 瀏覽器禁止Cookie,Cookie就不能用了,但Session不會受瀏覽器影響,對嗎?
A:錯。瀏覽器禁止Cookie,Cookie確實不能用了,Session會受瀏覽器端的影響。很簡單的實驗,在登入一個網站後,清空瀏覽器的Cookie和隱私資料,單機後臺的連線,就會因為丟失Cookie而退出。當然,有辦法通過URL傳遞Session。 - 瀏覽器關閉後,Cookie和Session都消失了,對嗎?
A:錯。儲存在記憶體中額Cookie確實會隨著瀏覽器的關閉而消失,但儲存在硬碟上的不會。更頑固的是Flash Cookie,不過現在很多系統優化軟體和新版瀏覽器都已經支援刪除Flash Cookie。百度採用了這樣的技術記憶使用者:Session在瀏覽器關閉後也不會消失,除非正常退出,程式碼中使用了顯示的unset刪除Session。否則Session可能被回收,也有可能永遠殘留在系統中。 - Session 比 Cookie 更安全嗎? 不應該大量使用Cookie嗎?
A:錯誤。Cookie確實可能存在一些不安全因素,但和JavaScript一樣,即使突破前端驗證,還有後端保障安全。一切都還要看設計,尤其是涉及提權的時候,特別需要注意。通常情況下,Cookie和Session是繫結的,獲得Cookie就相當於獲得了Session,客戶端把劫持的Cookie原封不動地傳給伺服器,伺服器收到後,原封不動地驗證Session,若Session存在,就實現了Cookie和Session的繫結過程。因此,不存在Session比Cookie更安全這種說法。如果說不安全,也是由於程式碼不安全,錯誤地把用作身份驗證的Cookie作為許可權驗證來使用。 - Session是建立在伺服器上的,應該少用Session而多用Cookie,對嗎?
A:錯。Cookie可以提高使用者體驗,但會加大網路之間的資料傳輸量,應儘量在Cookie中僅儲存必要的資料。 - 如果把別人機器上的Cookie檔案複製到我的電腦上(假設使用相同的瀏覽器),是不是能夠登入別人的帳號呢?如何防範?
A:是的。這屬於Cookie劫持的一種做法。要避免這種情況,需要在Cookie中針對IP、UA等加上特殊的校驗資訊,然後和伺服器端進行比對。 - 在IE瀏覽器下登入某網站,換成Firefox瀏覽器是否仍然是未登入狀態?使用IE登入了騰訊網站後,為什麼使用Firefox能保持登入狀態?
A:不同瀏覽器使用不同的Cookie管理機制,無法實現公用Cookie。如果使用IE登入騰訊網站,使用Firefox也能登入,這是由於在安裝騰訊QQ軟體時,你的電腦上同時安裝了針對這兩個瀏覽器的外掛,可以識別本地已登入QQ號碼進而自動登入。本質上,不屬於共用Cookie的範疇。