详解HTTP Cookie状态管理机制


Posted in PHP onJanuary 14, 2016

HTTP cookies,通常又称作"cookies",已经存在了很长时间,但是仍旧没有被予以充分的理解。首要的问题是存在了诸多误区,认为cookies是后门程序或病毒,或压根不知道它是如何工作的。第二个问题是对于cookies缺少一个一致性的接口。尽管存在着这些问题,cookies仍旧在web开发中起着如此重要的作用,以至于如果cookie在没有可替代品出现的情况下消失,我们许多喜欢的Web应用将变得毫无用处。

一、cookie 起源

cookie 最早是网景公司的雇员 Lou Montulli 在1993年3月发明,后被 W3C 采纳,目前 cookie 已经成为标准,所有的主流浏览器如 IE、Chrome、Firefox、Opera 等都支持。

cookie 的诞生是由于 HTTP 协议的天生缺陷,HTTP 是一种无状态的协议,简单的 Request 和 Response 一旦请求/响应结束,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话,即服务器并不清楚是哪个客户端。

一些典型应用如 登陆/购物车 就无法实现了。比如,用户 A 在购物商城购买的商品都应该放在 A 的购物车内,不论是用户 A 什么时间购买的,这都是属于同一个会话的,不能放入用户 B 或用户 C 的购物车内,这不属于同一个会话。

基本的原理如图

详解HTTP Cookie状态管理机制

二、cookie 操作

对 cookie 的操作包括如下

1.名称(Name)
2.值(Value)
3.域(Domain)
4.路径(Path)
5.失效日期(Expires)
6.安全标志(Secure)
7.HttpOnly (仅服务器端)

注意,cookie 多数时候由服务器端创建,JS 也可以创建 cookie,但 HttpOnly 类型的 JS 无法创建。

浏览器提供的 cookie API (document.cookie)实在过于简陋,可以稍封装下,如以下采用setter/getter方式 cookie 函数就方便了许多

/*
* JS 写cookie和读cookie操作
*
* **取cookie**
* cookie(name)
*
* **写cookie**
* cookie(name, value)
* cookie(name, value, option)
*/
var cookie = function(name, value, option) {
var doc = document
if (value != undefined) { // set 
option = option || {}
if (value === null) {
value = ''
option.expires = -1
}
var expires = ''
if (option.expires && (typeof option.expires == 'number' || option.expires.toUTCString)) {
var date = new Date
if (typeof option.expires == 'number') {
date.setTime(date.getTime() + (option.expires * 24 * 60 * 60 * 1000))
} else {
date = option.expires
}
// for IE
expires = '; expires=' + date.toUTCString()
}
var path = option.path ? '; path=' + option.path : ''
var domain = option.domain ? '; domain=' + option.domain : ''
var secure = option.secure ? '; secure' : ''
doc.cookie = [name, '=', encodeURIComponent(value), expires, path, domain, secure].join('')
} else { // get 
var cookieValue = null
if (doc.cookie && doc.cookie != '') {
var cookies = doc.cookie.split(';')
for (var i = 0; i < cookies.length; i++) {
var cookie = $.trim(cookies[i]).split('=')
if ( cookie[0] == name && cookie.length > 1 ) {
try {
cookieValue = decodeURIComponent(cookie[1])
} catch(e) {
cookieValue = cookie[1]
}
break
}
}
}
return cookieValue
}
};

当然,还有更方便的 https://github.com/florian/cookie.js,提供了更多便捷函数。

三、cookie 类型

1.普通 cookie,服务器端和 JS 都可以创建,JS 可以访问
2.HttpOnly cookie,只能由服务端创建,JS 是无法读取的,主要基于安全考虑
3.安全的 cookie (仅https),服务器端和 JS 都可以创建,JS 仅HTTPS下访问

比如,在新浪云上测试页面:http://snandy.sinaapp.com/php/cookie.php,我种了 3 个 cookie,分别是 c1, c2, c3

$d1 = mktime(1,1,1,1,1,2018);
// 普通cookie
setcookie("c1", "Jack", $d1); 
// 安全的cookie,仅https,第6个参数
setcookie("c2", "John", $d1, NULL, NULL, TRUE); 
// HttpOnly cookie 第7个参数
setcookie("c3", "Resig", $d1, NULL, NULL, NULL, TRUE);

用 Firefox 访问

详解HTTP Cookie状态管理机制

我种的三个都有,saeut是新浪云种的。

在 firebug 控制台输入 document.cookie

详解HTTP Cookie状态管理机制

可以看到,c2,c3 都是访问不到的。c2 是 安全的cookie,需要在https协议下访问,c3 则是 httpOnly 的,JS无法访问,这个需要注意。

把访问协议改成 https: https://snandy.sinaapp.com/php/cookie.php,firebug 切换到控制台再输入 document.cookie,可以看到 c2 就可以访问了

详解HTTP Cookie状态管理机制

四、cookie 的坑

详解HTTP Cookie状态管理机制

1. Cookie 太大或数量过多时页面访问报错,比如会出现如下提示

因此站点的 cookie 需要管理,不能随意种 cookie。另外尽量指定path,将cookie限定在指定范围内。

网站 browsercookielimits.squawky.net ,记录了各浏览器 cookie 大小

详解HTTP Cookie状态管理机制

2. 保存中文时需要Unicode编码(encodeURIComponent),否则存的是乱码

PHP 相关文章推荐
php 前一天或后一天的日期
Jun 28 PHP
php面向对象全攻略 (二) 实例化对象 使用对象成员
Sep 30 PHP
IIS下PHP的三种配置方式对比
Nov 20 PHP
PHP提示Warning:phpinfo() has been disabled函数禁用的解决方法
Dec 17 PHP
php在线解压ZIP文件的方法
Dec 30 PHP
php简单socket服务器客户端代码实例
May 18 PHP
学习php设计模式 php实现策略模式(strategy)
Dec 07 PHP
详解PHP匿名函数与注意事项
Mar 29 PHP
微信支付开发告警通知实例
Jul 12 PHP
详解Yii2 之 生成 URL 的方法
Jun 16 PHP
php成功操作redis cluster集群的实例教程
Jan 13 PHP
Laravel 登录后清空COOKIE的操作方法
Oct 14 PHP
在php中设置session用memcache来存储的方法总结
Jan 14 #PHP
thinkphp实现图片上传功能
Jan 13 #PHP
PHP实现伪静态方法汇总
Jan 13 #PHP
微信公众号支付之坑:调用支付jsapi缺少参数 timeStamp等错误解决方法
Jan 12 #PHP
优化WordPress中文章与评论的时间显示
Jan 12 #PHP
win平台安装配置Nginx+php+mysql 环境
Jan 12 #PHP
WordPress中重置文章循环的rewind_posts()函数讲解
Jan 11 #PHP
You might like
基于php在各种web服务器的运行模式详解
2013/06/03 PHP
php获取网站根目录物理路径的几种方法(推荐)
2017/03/04 PHP
Laravel向公共模板赋值方法总结
2019/06/25 PHP
js 字符串操作函数
2009/07/25 Javascript
jquery tablesorter.js 支持中文表格排序改进
2009/12/09 Javascript
js绑定事件this指向发生改变的问题解决方法
2013/04/23 Javascript
jQuery中Ajax的load方法详解
2015/01/14 Javascript
JavaScript实现常用二级省市级联下拉列表的方法
2015/03/25 Javascript
javascript类型系统——日期Date对象全面了解
2016/07/13 Javascript
js 创建对象 经典模式全面了解
2016/08/16 Javascript
解析预加载显示图片艺术
2016/12/05 Javascript
JQuery和HTML5 Canvas实现弹幕效果
2017/01/04 Javascript
JavaScript基于DOM操作实现简单的数学运算功能示例
2017/01/16 Javascript
详解webpack 配合babel 将es6转成es5 超简单实例
2017/05/02 Javascript
Angularjs之如何在跨域请求中传输Cookie的方法
2018/06/01 Javascript
2种在vue项目中使用百度地图的简单方法
2018/09/28 Javascript
详解用vue2.x版本+adminLTE开源框架搭建后台应用模版
2019/03/15 Javascript
[02:08]我的刀塔不可能这么可爱 胡晓桃_1
2014/06/20 DOTA
[02:36]DOTA2上海特锦赛 回忆电竞生涯的重要瞬间
2016/03/25 DOTA
python3模拟实现xshell远程执行liunx命令的方法
2019/07/12 Python
Python列表(list)所有元素的同一操作解析
2019/08/01 Python
Python csv文件的读写操作实例详解
2019/11/19 Python
Python PyInstaller安装和使用教程详解
2020/01/08 Python
Python面向对象程序设计之类和对象、实例变量、类变量用法分析
2020/03/23 Python
keras topN显示,自编写代码案例
2020/07/03 Python
用CSS3实现无限循环的无缝滚动的实例代码
2017/07/04 HTML / CSS
基于HTML5陀螺仪实现ofo首页眼睛移动效果的示例
2017/07/31 HTML / CSS
一站式跨境收款解决方案:Payoneer(派安盈)
2018/09/06 全球购物
印度在线购买电子产品网站:Croma
2020/01/02 全球购物
银行内勤岗位职责
2014/04/09 职场文书
岗位工作说明书
2014/07/29 职场文书
2014幼儿园保育员工作总结
2014/11/10 职场文书
写给导师的自荐信
2015/03/06 职场文书
一道JS算法面试题——冒泡、选择排序
2021/04/21 Javascript
使用Navicat Premium工具将oracle数据库迁移到MySQL
2021/05/27 Oracle
html中两种获取标签内的值的方法
2022/06/16 jQuery