Javascript中关于cookie的那些事儿
Javascript-cookie
什么是cookie?
指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)。简单点来说就是:浏览器缓存。
cookie由什么组成?
Cookie的形式: Cookie是由name=value形式成对存在的,Cookie字符串必须以分号作为结束符,Cookie除了name属性之外还存在其他4个相关属性。
设置Cookie的语法如下: set-Cookie:name=value;[expires=date];[path=dir];[domain=domainn];[secure]
set-Cookie:HTTP请求头文件中set-Cookie响应头字段 上述代码中的方括号的内容是可选属性,只有name属性为必须属性。比如:
HTTP/1.1 200 OK Content-Type:text/html Set-Cookie:name=value; expires=Tue, 27-Sep-16 12:11:39 GMT; domain=www.baidu.com; path=/
更多关于HTTP的知识,请戳http://www.cnblogs.com/foodoir/p/5911099.html
在控制台截图如图:
Cookie的属性: (以百度为例,如图:)
name属性
唯一必须设置的属性,表示Cookie的名称。
//写入cookie document.cookie = "user=陈武"; alert(document.cookie); //本地不存在域名,所以域名为空 document.cookie = "user="+encodeURIComponent("陈武"); alert(decodeURIComponent(document.cookie)); //如果不是向磁盘写入cookie,我们还是可以和获取到cookie的
expires属性
指定Cookie在删除之前要在客户机上保持多长时间,如果不使用该属性,Cookie只对向前浏览器会话有用,当用户关闭浏览器时,Cookie就会自动消失。
/* * 过期时间:到了这个时间点就会自动清理cookie,在会话结束时,就是关闭浏览器后就自动清理cookie了 * 当火狐浏览器关闭后,火狐的cookie被删除了,但不影响其他浏览器,每个浏览器都保存了自己的cookie,不是通用一个cookie。 */ //延长时间 var date = new Date(); //alert(date.getDate()+1); date.setDate(date.getDate()+1); //alert(date); document.cookie = "user="+encodeURIComponent("陈武")+";expires="+date; alert(decodeURIComponent(document.cookie)); //当过了这个时间点,cookie就自动被清理了,设置为当前的之前事件,则可以删除cookie
在这里,我们就可以知道,cookie有两种清除方式:1、将date.setDate()设置为之前的时间,代码:date.setDate(date.getDate()+1);2、将document.cookie = "user="+encodeURIComponent("陈武")+";expires="+date;中的date换成newDate(0)=>这里回到的时间是1970年1月1日
path属性
决定Cookie对于服务器上的其他网页的可用性,在一般情况下,Cookie对于同一目录下的所有页面都可用。当设置path属性后,Cookie只对指定路径以及子路径的所有网页有效。
如果/head/index.html 建立了一个cookie,那么在/head/目录里的所有页面,以及该目录下面任何子目录里的页面都可以访问这个cookie。这就是说,在/head/stories/articles 里的任何页面都可以访问/head/index.html建立的cookie。但是,如果/zdnn/ 需要访问/head/index.html设置的cookes,该怎么办?这时,我们要把cookies的path属性设置成“/”。在指定路径的时候,凡是来自同一服务器,URL里有相同路径的所有WEB页面都可以共享cookies。现在看另一个例子:如果想让 /head/filters/ 和/head/stories/共享cookies,就要把path设成“/head”。
domain属性
许多服务器都由多台服务器组成,domian属性主要设置相同域的多台服务器共享一个Cookie。
这里需要注意的有:
如果定义的是baidu.com,那么这个域名下的任何网页都可以访问,如果定义的是v.baidu.com,只能在这个二级域名访问cookie,主域名和其他域名都不可以访问。
设置域名必须在当前绑定的服务器上设置,如果在baidu.com服务器上随意设置了其他域名,则无法创建cookie。
secure属性
Internet链接本身是不安全的,为保证Internet上的数据安全,会使用SSL协议加密数据并使用安全连接传输数据,一般支持SSL的网站以HTTPS开头,Cookie的secure属性表示Cookie只能通过使用HTTPS或 其他安全协议的Internet链接来传输。如果secure属性不出现,就意味着Cookie在网络上未加密发送。
secure属性指定必须通过https来访问,仅限加密连接,这样安全性更高。
HttpOnly
1、如果在Cookie中设置了"HttpOnly"属性,那么通过后台程序读取,JS脚本将无法读取到Cookie信息,这样能有效的防止XSS攻击。
2、但是设置HttpOnly属性,Cookie盗窃的威胁并没有彻底消除,因为cookie还是有可能传递的过程中被监听捕获后信息泄漏。
cookie有哪些操作?
cookie的常用操作有:读取、操作和删除
在JavaScript中可以通过document.cookie可以读取当前域名下的cookie,是用分号隔开的键值对构成的字符串。类似于name=aa;age=15;
注意所有的键值对名称和值都是经过encodeURIComponent()编码的,使用时要进行解码。
当给document.cookie赋值时,不会直接覆盖现有的cookie,而是会追加一个新的cookie。例如:
document.cookie="a=1";//执行后会看到新增了一个cookie。
请看如下的一个例子:(简单的对cookie的获取方法进行了封装)
function setCookie(name,value,expries,path,domain,secure){ var cookieName = encodeURIComponent(name)+"="+encodeURIComponent(value); if(expries instanceof Date){ cookieName += ";expries="+expries; } if(path){ cookieName += ";path="+path; } if(domain){ cookieName += ";path="+domain; } if(secure){ cookieName += ";secure"; } document.cookie = cookieName; } //获取cookie //function getCookie(){ // return document.cookie; //} //alert(getCookie()); function getCookie(name){ //cookieName得到user= 或者url= 或者age= var cookieName = encodeURIComponent(name)+"="; //alert(cookieStart);//结果为user= //cookieStart得到user= 或者其他的 未知, var cookieStart = document.cookie.indexOf(cookieName); //alert(cookieStart);//0或者14或者22,不存在就是-1 var cookieValue = null; if(cookieStart>-1){ cookieEnd = document.cookie.indexOf(";",cookieStart); //alert(cookieEnd);//12(20,-1) if(cookieEnd == -1){ cookieEnd = document.cookie.length; } //alert(cookieEnd);//结果为35 //alert(cookieStart + cookieName.length);//结果是5 cookieValue = decodeURIComponent(document.cookie.substring(cookieStart + cookieName.length,cookieEnd)); //alert(cookieValue); } return cookieValue; } alert(getCookie("user")); //封装一个Date函数 function setCookieDate(day){ var date = null; if(typeof day == "number" && day>0){ date = new Date(); date.setDate(date.getDate()+day); } else{ console.error("您传递的参数不合法!必须是数字且大于0!"); } return date; } setCookie('user','foodoir',setCookieDate(1)); setCookie('age','21',setCookieDate(1)); setCookie('url','baidu.com',setCookieDate(1));
事实上我们可以用前面说过的JSON方法(详情请戳:http://www.cnblogs.com/foodoir/p/5894760.html)让我们的代码更简化,设置和删除操作跟读取操作类似,在这里我们同时对cookie进行读取、设置和删除操作,示例代码如下:
var CookieUtil = { //根据key读取cookie get: function (name){ //注意对键编码 var cookieName = encodeURIComponent(name) + "=", cookieStart = document.cookie.indexOf(cookieName), cookieValue = null, cookieEnd; //找到cookie键 if (cookieStart > -1){ //键后面第一个分号位置 cookieEnd = document.cookie.indexOf(";", cookieStart); if (cookieEnd == -1){ cookieEnd = document.cookie.length; } //cookie值解码 cookieValue = decodeURIComponent(document.cookie.substring(cookieStart + cookieName.length, cookieEnd)); } return cookieValue; }, //设置cookie set: function (name, value, expires, path, domain, secure) { var cookieText = encodeURIComponent(name) + "=" + encodeURIComponent(value); //失效时间,GMT时间格式 if (expires instanceof Date) { cookieText += "; expires=" + expires.toGMTString(); } if (path) { cookieText += "; path=" + path; } if (domain) { cookieText += "; domain=" + domain; } if (secure) { cookieText += "; secure"; } document.cookie = cookieText; }, //删除cookie,保持相同的键、域、路径、安全选项,然后设置失效时间即可 unset: function (name, path, domain, secure){ this.set(name, "", new Date(0), path, domain, secure); } };
可以像下面使用上面的方法:
//设置cookie CookieUtil.set("name","foodoir"); CookieUtil.set("age","21"); //读取cookie的值 alert(CookieUtil.get("name"));//foodoir alert(CookieUtil.get("age"));//21 //删除cookie CookieUtil.unset("name"); CookieUtil.unset("age"); //设置cookie,包括它的路径、域和失效日期 CookieUtil.set("name","fooodoir","abc","www.baidu.com",new Date("January 1,2017")); //删除刚刚设置的cookie CookieUtil.unset("name","abc","www.baidu.com"); //设置安全的cookie CookieUtil.set("name","fooodoir",null,null,null,true);
从上面的例子我们不难看出,cookie的读取、设置和删除操作还是很简单的,那么既然cookie这么好用,那我们就用cookie作为数据库来帮我们来存储数据?
不不不!关于cookie,我还有话说,WEB开发时cookie大小是受到限制的,下面是我收集到的一些证据:
一、浏览器允许每个域名所包含的cookie数:
Microsoft指出InternetExplorer8增加cookie限制为每个域名50个,但IE7似乎也允许每个域名50个cookie。
Firefox每个域名cookie限制为50个。
Opera每个域名cookie限制为30个。
Safari/WebKit貌似没有cookie限制。但是如果cookie很多,则会使header大小超过服务器的处理的限制,会导致错误发生。
注:“每个域名cookie限制为20个”将不再正确!但是为了兼容低版本,我们尽量将cookie数控制在20个或20个以下。
二、当很多的cookie被设置,浏览器如何去响应。
除Safari(可以设置全部cookie,不管数量多少),有两个方法:
最少最近使用(leastrecentlyused(LRU))的方法:当Cookie已达到限额,自动踢除最老的Cookie,以使给最新的Cookie一些空间。InternetExplorer和Opera使用此方法。
Firefox很独特:虽然最后的设置的Cookie始终保留,但似乎随机决定哪些cookie被保留没有任何计划。
建议:在Firefox中不要超过Cookie限制
三、不同浏览器间cookie总大小也不同:
Firefox和Safari允许cookie多达4097个字节,包括名(name)、值(value)和等号。
Opera允许cookie多达4096个字节,包括:名(name)、值(value)和等号。
InternetExplorer允许cookie多达4095个字节,包括:名(name)、值(value)和等号。
注意:多字节字符计算为两个字节。在所有浏览器中,任何cookie大小超过限制都被忽略,且永远不会被设置。这样的话,为了兼容低版本,我们尽量控制cookie的大小为4095或4095以下。
不得不说的几个提高cookie的安全性的几个建议
一、对保存到cookie里面的敏感信息必须加密
二、设置HttpOnly为true
1、该属性值的作用就是防止Cookie值被页面脚本读取。
2、但是设置HttpOnly属性,HttpOnly属性只是增加了攻击者的难度,Cookie盗窃的威胁并没有彻底消除,因为cookie还是有可能传递的过程中被监听捕获后信息泄漏。
三、设置Secure为true
1、给Cookie设置该属性时,只有在https协议下访问的时候,浏览器才会发送该Cookie。
2、把cookie设置为secure,只保证cookie与WEB服务器之间的数据传输过程加密,而保存在本地的cookie文件并不加密。如果想让本地cookie也加密,得自己加密数据。
四、给Cookie设置有效期
1、如果不设置有效期,万一用户获取到用户的Cookie后,就可以一直使用用户身份登录。
2、在设置Cookie认证的时候,需要加入两个时间,一个是“即使一直在活动,也要失效”的时间,一个是“长时间不活动的失效时间”,并在Web应用中,首先判断两个时间是否已超时,再执行其他操作。
五、一定不要在cookie中存储重要和敏感的数据
cookie数据并非存储在一个安全的环境中,其中包含的任何数据都可以被其他人访问到,所以不要在cookie中存储如银行卡或个人地址之类的数据。
关于子cookie我有话要说
有时站点需要记录多个cookie,比如多块功能区域都有气泡提示,点击“不再提示”后取消提醒,此时每个区域都需要记录一个很简单的cookie。由于浏览器cookie数量是有限制的,为了减少cookie数量可以使用子cookie的方式。在一个cookie值中使用类似查询字符串的格式可以存储多组键值对,这样就不必每个键值对都占用一个cookie了。子cookie值举例:
iknow=know0=1&know1=1
下面来看一个更具体的例子:
①获取所有子cookie并将它放在一个对象中返回,对象的属性名为子cookie名称,对象的属性值为子cookie的值。
getAll: function(name){ var cookieName = encodeURIComponent(name) + "=", cookieStart = document.cookie.indexOf(cookieName), cookieValue = null, cookieEnd, subCookies, i, parts, result = {}; if (cookieStart > -1){ cookieEnd = document.cookie.indexOf(";", cookieStart) if (cookieEnd == -1){ cookieEnd = document.cookie.length; } //取出cookie字符串值 cookieValue = document.cookie.substring(cookieStart + cookieName.length, cookieEnd); if (cookieValue.length > 0){ //用&将cookie值分隔成数组 subCookies = cookieValue.split("&"); for (i=0, len=subCookies.length; i < len; i++){ //等号分隔出键值对 parts = subCookies[i].split("="); //将解码后的兼职对分别作为属性名称和属性值赋给对象 result[decodeURIComponent(parts[0])] = decodeURIComponent(parts[1]); } return result; } } return null; }
②get()获取单个子cookie。
get: function (name, subName){ //获取所有子cookie var subCookies = this.getAll(name); if (subCookies){ //从属性中获取单个子cookie return subCookies[subName]; } else { return null; } }
③setAll设置整个cookie
setAll: function(name, subcookies, expires, path, domain, secure){ var cookieText = encodeURIComponent(name) + "=", subcookieParts = new Array(), subName; //遍历子cookie对象的属性 for (subName in subcookies){ //要先检测属性名 if (subName.length > 0 && subcookies.hasOwnProperty(subName)){ //属性名和属性值编码后=连接为字符串,并放到数组中 subcookieParts.push(encodeURIComponent(subName) + "=" + encodeURIComponent(subcookies[subName])); } } if (subcookieParts.length > 0){ //用&连接子cookie串 cookieText += subcookieParts.join("&"); if (expires instanceof Date) { cookieText += "; expires=" + expires.toGMTString(); } if (path) { cookieText += "; path=" + path; } if (domain) { cookieText += "; domain=" + domain; } if (secure) { cookieText += "; secure"; } } else { cookieText += "; expires=" + (new Date(0)).toGMTString(); } //设置整个cookie document.cookie = cookieText; }
④set设置单个子cookie
set: function (name, subName, value, expires, path, domain, secure) { //获取当前cookie对象 var subcookies = this.getAll(name) || {}; //单个cookie对应的属性替换 subcookies[subName] = value; //重新设置cookie this.setAll(name, subcookies, expires, path, domain, secure); }
⑤删除cookie
删除整个cookie, 将失效时间设置为过期日期即可。
unsetAll: function(name, path, domain, secure){ this.setAll(name, null, new Date(0), path, domain, secure); }
删除单个子cookie,需要先获取所有子cookie对象,然后删除子cookie对应的属性,最后再将子cookie对象重新设置回去。
unset: function (name, subName, path, domain, secure){ //获取当前cookie对象 var subcookies = this.getAll(name); if (subcookies){ //删除子cookie对应的属性 delete subcookies[subName]; //重新设置cookie this.setAll(name, subcookies, null, path, domain, secure); } }
关于cookie我们还需要知道的一些知识
【在线状态检测】
开发离线应用时,往往在离线状态时把数据存在本地,而在联机状态时再把数据发送到服务器。html5提供了检测在线状态的方法:navigator.onLine和online/offline事件。
1.navigator.onLine属性
表示当前的网络状态是否在线,true表示在线,false表示离线。当网络状态变化时,该属性也会随之变化。
2.online和offline事件
HTML5提供了这两个事件,会在网络状态变化时触发。online在网络由离线变为在线时触发;offline在网络由在线变为离线时触发。
示例代码如下:
<p>You are currently: <span id="status"> <script>document.write(navigator.onLine ? "在线" : "离线");</script> </span> </p> <p>切换脱机状态,看看效果</p> <script> EventUtil.addHandler(window, "online", function(){ document.getElementById("status").innerHTML = "在线"; }); EventUtil.addHandler(window, "offline", function(){ document.getElementById("status").innerHTML = "离线"; }); </script>
知识延伸
比较古老的存储方式:
cookie
userDate(ie5.0)
html5 存储三种方式
local storage (永久保存,保存在缓存里。清除方法:手动清除或者浏览器缓存失效)
application cache
indexed DB
(关于其他存储方式这里不作介绍,请大家参考相关资料~)
参考资料:
《Javascript高级程序设计(第三版)》第23章;
《图解HTTP》第8章
相关知识链接:
Javascript中关于Cookie的那些事:https://developer.mozilla.org/en-US/docs/Web/API/Document/cookie
HTTP:http://www.cnblogs.com/foodoir/p/5905946.html
JSON的那些事儿:http://www.cnblogs.com/foodoir/p/5894760.html
HTTPS:http://www.cnblogs.com/foodoir/p/5922480.html
