当前位置:首页>HTTP>HTTP Header>Cookie Header字段

Cookie Header字段

作者:微学网发布时间:2019-09-07 15:26:34

Cookie的工作机制是用户识别和状态管理。

Web网站为了管理用户的状态,会通过Web服务器,把一些数据临时写入用户的计算机内。

当用户访问该Web网站时,可通过通信方式取回之前存放的Cookie。

调用Cookie是,由于可校验Cookie的有效期,以及发送方的域、路径、协议等,所以正规发布的Cookie内的数据不会因为来自其他Web站点和攻击者的攻击而泄漏。

Set-Cookie字段的属性

属性 说明
NAME= VALUE 赋予Cookie的名称和其值(必须项)
expires = DATA Cookie的有效期(若没有明确指定,则默认到浏览器关闭为止),一旦Cookie从服务器发送至客户端,服务器就不存在可以显示删除Cookie的方法。但可以通过覆盖已过期的Cookie,实现对客户端Cookie的实质性删除操作。
path=PATH 将服务器上的文件目录组委Cookie的适用对象(若不指定则默认为文档所在的文件目录)
domain = 域名 作为Cookie使用对象的域名(若不指定则默认为创建Cookie的服务器域名),通过domain属性指定的域名可做到与结尾匹配一致。除了针对具体指定的多个域名发送Cookie外,不指定domain属性显得更安全。
Secure 仅在HTTPS安全通信时才发送Cookie。当没有指定Secure时,无论是HTTP还是HTTPS都会对Cookie进行回收。
HttpOnly 加以限制,使Cookie不能被JavaScript脚本访问。加上HttpOnly属性后,通常从Web网页内还可以对Cookie进行读取操作,但使用JavaScript的document.Cookie就无法读取附加HttpOnly属性后的Cookie的内容了。也就无法再XSS中那个利用JavaScript劫持Cookie了。
Cookie: status=enable

字段 Cookie 会告知服务器, 当客户端想获得 HTTP 状态管理支持时, 就会在请求中包含从服务器接收到的 Cookie。 接收到多个Cookie 时, 同样可以以多个 Cookie 形式发送。