cookies过期时间
cookies 不设置过期时间的话,默认⽣存期限就到关闭浏览器为⽌。
有两种存储类型的Cookie:
会话性
Expires属性缺省时,为会话性Cookie,仅保存在客户端内存中,并在⽤户关闭浏览器时失效。
持久性
持久性Cookie会保存在⽤户的硬盘中,直⾄⽣存期到或⽤户直接在⽹页中单击“注销”等按钮结束会话时才会失效。
Cookie⽂本数据组成:
1. Name/Value:设置Cookie的名称及相对应的值,对于认证Cookie,Value值包括Web服务器所提供的访问令牌。
cookie阻止好还是不阻止好
2. Path属性:定义了Web站点上可以访问该Cookie的⽬录。
3. Domain属性:指定了可以访问该 Cookie 的 Web 站点或域。Cookie 机制并未遵循严格的同源策略,允许⼀个⼦域可以设置或获取其
⽗域的 Cookie。当需要实现单点登录⽅案时,Cookie 的上述特性⾮常有⽤,然⽽也增加了 Cookie受攻击的危险。⽐如攻击者可以借此发动会话定置攻击。因⽽,浏览器禁⽌在 Domain 属性中设置.org、 等通⽤顶级域名、以及在国家及地区顶级域下注册的⼆级域名,以减⼩攻击发⽣的范围。
4. Secure属性:指定是否使⽤HTTPS安全协议发送Cookie。使⽤HTTPS安全协议,可以保护Cookie在浏览器和Web服务器间的传输过
程中不被窃取和篡改。该⽅法也可⽤于Web站点的⾝份鉴别,即在HTTPS的连接建⽴阶段,浏览器会检查Web⽹站的SSL证书的有效性。
5. HTTPOnly 属性:⽤于防⽌客户端脚本通过kie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改。但
是,HTTPOnly的应⽤仍存在局限性,⼀些浏览器可以阻⽌客户端脚本对Cookie的读操作,但允许写操作;此外⼤多数浏览器仍允许通过XMLHTTP对象读取HTTP响应中的Set-Cookie头。