Cookie的HttpOnly、secure、domain属性
Cookie主要属性
Cookie主要属性:
- path
- domain
- max-age
- expires:是expires的补充,现阶段有兼容性问题:IE低版本不支持,所以一般不单独使用
- secure
- httponly
- JS不能读写HttpOnly Cookie
- 属性之间使用英文分号和空格("; ")连接
浏览器存放cookie包含的字段:
- name、value
- expiry-time:由Cookie中的expires和max-age产生
- domain、path
- creation-time、last-access-time
- persistent-flag:持久化标记,默认为false,表示是session cookie
- secure-only-flag
- http-only-flag
- host-only-flag:Cookie中不包含Domain属性或者Domain为空或者不合法时为true。
HttpOnly属性——防止程序获取cookie后进行攻击
- 如果Cookie中设置了HttpOnlhy属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,能有效的防止XSS攻击。
Secure——防止信息传输过程中的泄露
- true —— 只能在HTTPS连接中传输,HTTP连接不会传输,所以不会被窃取到Cookie的具体内容
- false —— HTTP、HTTPS连接都可以传输
domain域名带.与否的区别
- 若domain不带点,只有当前域名的服务器可以获取到cookie,子域名拿不到cookie
- 若domain带点,当前域名&子域名都可以拿到cookie
- Chrome——如果显示声明,不管domain带不带点,都是带点存储;只有非显示声明domain的cookie,浏览器存储才是不带点
Session Cookie
- Session Cookie是没有expiry date的,会话结束也会一并删除。
作者:AmyZYX
出处:http://www.cnblogs.com/amyzhu/
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。
出处:http://www.cnblogs.com/amyzhu/
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。