一、Cookies特性

1、前端数据存储

2、后端通过http头设置

3、请求时通过http头传给后端

4、前端可读写

5、遵守同源策略

 

二、Cookies内容

1、域名

2、有效期,删除cookies是通过更改有效期来实现

3、路径,可以设置指定页面路径层级使用

4、http-only,只提供给http协议使用,即只在发送请求或接收中使用,js是不能使用的。

5、secure,只提供https协议下使用

 

三、Cookies作用

存储个性化设置

存储未登录时用户唯一标识

存储已登录用户的凭证,常见做法用户ID+签名,SessionId

存储其他业务数据

 

Cookies和XSS关系:

XSS可能偷取Cookies,设置http-only的Cookies不会被偷。

 

Cookies和CSRF的关系:

CSRF利用了用户Cookies,攻击站点无法读写Cookies。

 

Cookies安全策略:

1、签名防篡改

2、私有变换(加密)

3、http-only(防止XSS)

4、secure(防止XSS)

5、same-site(防止CSRF)

 

内容来源于网络如有侵权请私信删除