详解HTTP Cookie状态管理机制


Posted in PHP onJanuary 14, 2016

HTTP cookies,通常又称作"cookies",已经存在了很长时间,但是仍旧没有被予以充分的理解。首要的问题是存在了诸多误区,认为cookies是后门程序或病毒,或压根不知道它是如何工作的。第二个问题是对于cookies缺少一个一致性的接口。尽管存在着这些问题,cookies仍旧在web开发中起着如此重要的作用,以至于如果cookie在没有可替代品出现的情况下消失,我们许多喜欢的Web应用将变得毫无用处。

一、cookie 起源

cookie 最早是网景公司的雇员 Lou Montulli 在1993年3月发明,后被 W3C 采纳,目前 cookie 已经成为标准,所有的主流浏览器如 IE、Chrome、Firefox、Opera 等都支持。

cookie 的诞生是由于 HTTP 协议的天生缺陷,HTTP 是一种无状态的协议,简单的 Request 和 Response 一旦请求/响应结束,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话,即服务器并不清楚是哪个客户端。

一些典型应用如 登陆/购物车 就无法实现了。比如,用户 A 在购物商城购买的商品都应该放在 A 的购物车内,不论是用户 A 什么时间购买的,这都是属于同一个会话的,不能放入用户 B 或用户 C 的购物车内,这不属于同一个会话。

基本的原理如图

详解HTTP Cookie状态管理机制

二、cookie 操作

对 cookie 的操作包括如下

1.名称(Name)
2.值(Value)
3.域(Domain)
4.路径(Path)
5.失效日期(Expires)
6.安全标志(Secure)
7.HttpOnly (仅服务器端)

注意,cookie 多数时候由服务器端创建,JS 也可以创建 cookie,但 HttpOnly 类型的 JS 无法创建。

浏览器提供的 cookie API (document.cookie)实在过于简陋,可以稍封装下,如以下采用setter/getter方式 cookie 函数就方便了许多

/*
* JS 写cookie和读cookie操作
*
* **取cookie**
* cookie(name)
*
* **写cookie**
* cookie(name, value)
* cookie(name, value, option)
*/
var cookie = function(name, value, option) {
var doc = document
if (value != undefined) { // set 
option = option || {}
if (value === null) {
value = ''
option.expires = -1
}
var expires = ''
if (option.expires && (typeof option.expires == 'number' || option.expires.toUTCString)) {
var date = new Date
if (typeof option.expires == 'number') {
date.setTime(date.getTime() + (option.expires * 24 * 60 * 60 * 1000))
} else {
date = option.expires
}
// for IE
expires = '; expires=' + date.toUTCString()
}
var path = option.path ? '; path=' + option.path : ''
var domain = option.domain ? '; domain=' + option.domain : ''
var secure = option.secure ? '; secure' : ''
doc.cookie = [name, '=', encodeURIComponent(value), expires, path, domain, secure].join('')
} else { // get 
var cookieValue = null
if (doc.cookie && doc.cookie != '') {
var cookies = doc.cookie.split(';')
for (var i = 0; i < cookies.length; i++) {
var cookie = $.trim(cookies[i]).split('=')
if ( cookie[0] == name && cookie.length > 1 ) {
try {
cookieValue = decodeURIComponent(cookie[1])
} catch(e) {
cookieValue = cookie[1]
}
break
}
}
}
return cookieValue
}
};

当然,还有更方便的 https://github.com/florian/cookie.js,提供了更多便捷函数。

三、cookie 类型

1.普通 cookie,服务器端和 JS 都可以创建,JS 可以访问
2.HttpOnly cookie,只能由服务端创建,JS 是无法读取的,主要基于安全考虑
3.安全的 cookie (仅https),服务器端和 JS 都可以创建,JS 仅HTTPS下访问

比如,在新浪云上测试页面:http://snandy.sinaapp.com/php/cookie.php,我种了 3 个 cookie,分别是 c1, c2, c3

$d1 = mktime(1,1,1,1,1,2018);
// 普通cookie
setcookie("c1", "Jack", $d1); 
// 安全的cookie,仅https,第6个参数
setcookie("c2", "John", $d1, NULL, NULL, TRUE); 
// HttpOnly cookie 第7个参数
setcookie("c3", "Resig", $d1, NULL, NULL, NULL, TRUE);

用 Firefox 访问

详解HTTP Cookie状态管理机制

我种的三个都有,saeut是新浪云种的。

在 firebug 控制台输入 document.cookie

详解HTTP Cookie状态管理机制

可以看到,c2,c3 都是访问不到的。c2 是 安全的cookie,需要在https协议下访问,c3 则是 httpOnly 的,JS无法访问,这个需要注意。

把访问协议改成 https: https://snandy.sinaapp.com/php/cookie.php,firebug 切换到控制台再输入 document.cookie,可以看到 c2 就可以访问了

详解HTTP Cookie状态管理机制

四、cookie 的坑

详解HTTP Cookie状态管理机制

1. Cookie 太大或数量过多时页面访问报错,比如会出现如下提示

因此站点的 cookie 需要管理,不能随意种 cookie。另外尽量指定path,将cookie限定在指定范围内。

网站 browsercookielimits.squawky.net ,记录了各浏览器 cookie 大小

详解HTTP Cookie状态管理机制

2. 保存中文时需要Unicode编码(encodeURIComponent),否则存的是乱码

PHP 相关文章推荐
Php做的端口嗅探器--可以指定网站和端口
Oct 09 PHP
windows xp下安装pear
Dec 02 PHP
PHP无刷新上传文件实现代码
Sep 19 PHP
php中数组首字符过滤功能代码
Jul 31 PHP
PHP运行环境配置与开发环境的配置(图文教程)
Jun 04 PHP
解析PHP对现有搜索引擎的调用
Jun 25 PHP
Yii入门教程之Yii安装及hello world
Nov 25 PHP
php实现的操作excel类详解
Jan 15 PHP
php实现图片上传并利用ImageMagick生成缩略图
Mar 14 PHP
PHP的PDO常用类库实例分析
Apr 07 PHP
详解thinkphp实现excel数据的导入导出(附完整案例)
Dec 29 PHP
详细解读php的命名空间(一)
Feb 21 PHP
在php中设置session用memcache来存储的方法总结
Jan 14 #PHP
thinkphp实现图片上传功能
Jan 13 #PHP
PHP实现伪静态方法汇总
Jan 13 #PHP
微信公众号支付之坑:调用支付jsapi缺少参数 timeStamp等错误解决方法
Jan 12 #PHP
优化WordPress中文章与评论的时间显示
Jan 12 #PHP
win平台安装配置Nginx+php+mysql 环境
Jan 12 #PHP
WordPress中重置文章循环的rewind_posts()函数讲解
Jan 11 #PHP
You might like
千呼万唤始出来,DOTA2勇士令状不朽宝藏Ⅱ现已推出
2020/08/25 DOTA
探讨Hessian在PHP中的使用分析
2013/06/13 PHP
php中实现记住密码下次自动登录的例子
2014/11/06 PHP
PHP入门教程之表单与验证实例详解
2016/09/11 PHP
Thinkphp 框架扩展之Widget扩展实现方法分析
2020/04/23 PHP
求解开jscript.encode代码的asp函数
2007/02/28 Javascript
javascript iframe内的函数调用实现方法
2009/07/19 Javascript
让你的网站可编辑的实现js代码
2009/10/19 Javascript
javascript定时变换图片实例代码
2013/03/17 Javascript
javascript中怎么做对象的类型判断
2013/11/11 Javascript
javasciprt下jquery函数$.post执行无响应的解决方法
2014/03/13 Javascript
原生javascript实现的分页插件pagenav
2014/08/28 Javascript
禁用页面部分JavaScript不是全部而是部分
2014/09/03 Javascript
js怎么覆盖原有方法实现重写
2014/09/04 Javascript
JS实现的表格行鼠标点击高亮效果代码
2015/11/27 Javascript
推荐阅读的js快速判断IE浏览器(兼容IE10与IE11)
2015/12/13 Javascript
JQ图片文件上传之前预览功能的简单实例(分享)
2017/11/12 Javascript
nodejs调取微信收货地址的方法
2017/12/20 NodeJs
微信小程序scroll-view实现滚动穿透和阻止滚动的方法
2018/08/20 Javascript
浅析vue 函数配置项watch及函数 $watch 源码分享
2018/11/22 Javascript
微信小程序实现slideUp、slideDown滑动效果及点击空白隐藏功能示例
2018/12/11 Javascript
JS实现简单日历特效
2020/01/03 Javascript
EXTJS7实现点击拖拉选择文本
2020/12/17 Javascript
[02:29]完美世界高校联赛上海赛区回顾
2015/12/15 DOTA
[02:23]1个至宝=115个英雄特效 最“绿”至宝拉比克“魔导师密钥”登场
2018/12/29 DOTA
python多重继承实例
2014/10/11 Python
python登录豆瓣并发帖的方法
2015/07/08 Python
python+selenium实现京东自动登录及秒杀功能
2017/11/18 Python
python统计多维数组的行数和列数实例
2018/06/23 Python
Python读取数据集并消除数据中的空行方法
2018/07/12 Python
用python 实现在不确定行数情况下多行输入方法
2019/01/28 Python
使用Python 统计高频字数的方法
2019/01/31 Python
上课打牌的检讨书
2014/02/15 职场文书
2014年公司庆元旦活动方案
2014/03/05 职场文书
医学院毕业生自荐信范文
2014/03/06 职场文书
行政主管岗位职责
2015/02/03 职场文书