COOKIE的SECURE属性

昨天跑了一下测试,发现服务器明明向客户端写了COOKIE,而且浏览器也木有禁用COOKIE,但是从浏览器再访问服务器,SessionID死活不会传到服务器。搞了一个上午,找不到原因,正在焦头烂额的时候,一个前辈帮了大忙。原来我的访问URL协议头是HTTP,而Weblogic里面的配置被人改动了。把cookie-secure的值改为了truetrue意味着"指示浏览器仅通过 HTTPS 连接传回 cookie。这可以确保 cookie ID 是安全的,且仅用于使用 HTTPS 的网站。如果启用此功能,则 HTTP 上的会话 Cookie 将不再起作用。"唉,明白了,怪不得一直都取不到COOKIE。

好了,问题解决了,下面我自己再实验一下:

我自己的电脑用的Tomcat,首先,把cookie-secure的值设为false,创建一个session:

 1 public void service(HttpServletRequest request, HttpServletResponse response) {
 2         // 创建cookie
 3         Cookie cookie = new Cookie("key", "value");
 4         // 关键地方:cookie设为false
 5         cookie.setSecure(false);
 6         response.addCookie(cookie);
 7         // 从request中取得cookie,并输出
 8         Cookie[] cookies = request.getCookies();
 9         for (Cookie c : cookies) {
10             System.out.println(c.getValue());
11         }
12         RequestDispatcher dispatcher = request
13                 .getRequestDispatcher("index.jsp");
14         try {
15             dispatcher.forward(request, response);
16         } catch (ServletException e) {
17             e.printStackTrace();
18         } catch (IOException e) {
19             e.printStackTrace();
20         }
21     }

好,我们访问一下这个地址:http://localhost:8080/servlet/index.do

用Fiddler来看一下客户端发出的信息:

好,我们再访问一下前面的地址:

这个时候我们可以看到客户端发出的cookie里面,有key=value,说明客户端把cookie发给了服务器端。

那如果我们在服务器端设置cookie.setSecure(true)呢?

先上代码:

 1 public void service(HttpServletRequest request, HttpServletResponse response) {
 2         // 创建cookie
 3         Cookie cookie = new Cookie("key", "value");
 4         // 关键地方:cookie设为false
 5         cookie.setSecure(true);
 6         response.addCookie(cookie);
 7         // 从request中取得cookie,并输出
 8         Cookie[] cookies = request.getCookies();
 9         if (cookies != null) {
10             for (Cookie c : cookies) {
11                 System.out.println(c.getValue());
12             }
13         }
14         RequestDispatcher dispatcher = request
15                 .getRequestDispatcher("index.jsp");
16         try {
17             dispatcher.forward(request, response);
18         } catch (ServletException e) {
19             e.printStackTrace();
20         } catch (IOException e) {
21             e.printStackTrace();
22         }
23     }

第一次访问:

这是request的信息。

服务器的返回信息如下:

我们可以看到服务器发给客户端的信息中有这么一行:Set-Cookie:key=value; Secure

多了一个Secure。

第二次访问:

我们发现key=value这个cookie已经没有了。

那我们用https协议头来试着访问一下看看:

我们看到key=value又发给了服务器端了。

唉,其实这些都是基础知识了,看来自己的只是还是很薄弱。继续努力吧。

posted @ 2013-07-09 17:22  画水  阅读(25816)  评论(0编辑  收藏  举报