Javascript中关于cookie的那些事儿
什么是cookie?
指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)。简单点来说就是:浏览器缓存。
cookie由什么组成?
Cookie的形式:Cookie是由name=value形式成对存在的,Cookie字符串必须以分号作为结束符,Cookie除了name属性之外还存在其他4个相关属性。
设置Cookie的语法如下:set-Cookie:name=value;[expires=date];[path=dir];[domain=domainn];[secure]
set-Cookie:HTTP请求头文件中set-Cookie响应头字段上述代码中的方括号的内容是可选属性,只有name属性为必须属性。比如:
HTTP/1.1200OK
Content-Type:text/html
Set-Cookie:name=value;expires=Tue,27-Sep-1612:11:39GMT;domain=www.baidu.com;path=/
更多关于HTTP的知识,请戳http://www.cnblogs.com/foodoir/p/5911099.html
在控制台截图如图:
Cookie的属性:(以百度为例,如图:)
name属性
唯一必须设置的属性,表示Cookie的名称。
复制代码
//写入cookie
document.cookie="user=陈武";
alert(document.cookie);
//本地不存在域名,所以域名为空
document.cookie="user="+encodeURIComponent("陈武");
alert(decodeURIComponent(document.cookie));
//如果不是向磁盘写入cookie,我们还是可以和获取到cookie的
复制代码
expires属性
指定Cookie在删除之前要在客户机上保持多长时间,如果不使用该属性,Cookie只对向前浏览器会话有用,当用户关闭浏览器时,Cookie就会自动消失。
复制代码
/
过期时间:到了这个时间点就会自动清理cookie,在会话结束时,就是关闭浏览器后就自动清理cookie了
当火狐浏览器关闭后,火狐的cookie被删除了,但不影响其他浏览器,每个浏览器都保存了自己的cookie,不是通用一个cookie。
/
//延长时间
vardate=newDate();
//alert(date.getDate()+1);
date.setDate(date.getDate()+1);
//alert(date);
document.cookie="user="+encodeURIComponent("陈武")+";expires="+date;
alert(decodeURIComponent(document.cookie));
//当过了这个时间点,cookie就自动被清理了,设置为当前的之前事件,则可以删除cookie
复制代码
在这里,我们就可以知道,cookie有两种清除方式:1、将date.setDate()设置为之前的时间,代码:date.setDate(date.getDate()+1);2、将document.cookie="user="+encodeURIComponent("陈武")+";expires="+date;中的date换成newDate(0)=>这里回到的时间是1970年1月1日
path属性
决定Cookie对于服务器上的其他网页的可用性,在一般情况下,Cookie对于同一目录下的所有页面都可用。当设置path属性后,Cookie只对指定路径以及子路径的所有网页有效。
如果/head/index.html建立了一个cookie,那么在/head/目录里的所有页面,以及该目录下面任何子目录里的页面都可以访问这个cookie。这就是说,在/head/stories/articles里的任何页面都可以访问/head/index.html建立的cookie。但是,如果/zdnn/需要访问/head/index.html设置的cookes,该怎么办?这时,我们要把cookies的path属性设置成“/”。在指定路径的时候,凡是来自同一服务器,URL里有相同路径的所有WEB页面都可以共享cookies。现在看另一个例子:如果想让/head/filters/和/head/stories/共享cookies,就要把path设成“/head”。
domain属性
许多服务器都由多台服务器组成,domian属性主要设置相同域的多台服务器共享一个Cookie。
这里需要注意的有:
如果定义的是baidu.com,那么这个域名下的任何网页都可以访问,如果定义的是v.baidu.com,只能在这个二级域名访问cookie,主域名和其他域名都不可以访问。
设置域名必须在当前绑定的服务器上设置,如果在baidu.com服务器上随意设置了其他域名,则无法创建cookie。
secure属性
Internet链接本身是不安全的,为保证Internet上的数据安全,会使用SSL协议加密数据并使用安全连接传输数据,一般支持SSL的网站以HTTPS开头,Cookie的secure属性表示Cookie只能通过使用HTTPS或其他安全协议的Internet链接来传输。如果secure属性不出现,就意味着Cookie在网络上未加密发送。
secure属性指定必须通过https来访问,仅限加密连接,这样安全性更高。
HttpOnly
1、如果在Cookie中设置了"HttpOnly"属性,那么通过后台程序读取,JS脚本将无法读取到Cookie信息,这样能有效的防止XSS攻击。
2、但是设置HttpOnly属性,Cookie盗窃的威胁并没有彻底消除,因为cookie还是有可能传递的过程中被监听捕获后信息泄漏。
cookie有哪些操作?
cookie的常用操作有:读取、操作和删除
在JavaScript中可以通过document.cookie可以读取当前域名下的cookie,是用分号隔开的键值对构成的字符串。类似于name=aa;age=15;
注意所有的键值对名称和值都是经过encodeURIComponent()编码的,使用时要进行解码。
当给document.cookie赋值时,不会直接覆盖现有的cookie,而是会追加一个新的cookie。例如:
document.cookie="a=1";//执行后会看到新增了一个cookie。
请看如下的一个例子:(简单的对cookie的获取方法进行了封装)
复制代码
functionsetCookie(name,value,expries,path,domain,secure){
varcookieName=encodeURIComponent(name)+"="+encodeURIComponent(value);
if(expriesinstanceofDate){
cookieName+=";expries="+expries;
}
if(path){
cookieName+=";path="+path;
}
if(domain){
cookieName+=";path="+domain;
}
if(secure){
cookieName+=";secure";
}
document.cookie=cookieName;
}
//获取cookie
//functiongetCookie(){
//returndocument.cookie;
//}
//alert(getCookie());
functiongetCookie(name){
//cookieName得到user=或者url=或者age=
varcookieName=encodeURIComponent(name)+"=";
//alert(cookieStart);//结果为user=
//cookieStart得到user=或者其他的未知,
varcookieStart=document.cookie.indexOf(cookieName);
//alert(cookieStart);//0或者14或者22,不存在就是-1
varcookieValue=null;
if(cookieStart>-1){
cookieEnd=document.cookie.indexOf(";",cookieStart);
//alert(cookieEnd);//12(20,-1)
if(cookieEnd==-1){
cookieEnd=document.cookie.length;
}
//alert(cookieEnd);//结果为35
//alert(cookieStart+cookieName.length);//结果是5
cookieValue=decodeURIComponent(document.cookie.substring(cookieStart+cookieName.length,cookieEnd));
//alert(cookieValue);
}
returncookieValue;
}
alert(getCookie("user"));
//封装一个Date函数
functionsetCookieDate(day){
vardate=null;
if(typeofday=="number"&&day>0){
date=newDate();
date.setDate(date.getDate()+day);
}
else{
console.error("您传递的参数不合法!必须是数字且大于0!");
}
returndate;
}
setCookie(''user'',''foodoir'',setCookieDate(1));
setCookie(''age'',''21'',setCookieDate(1));
setCookie(''url'',''baidu.com'',setCookieDate(1));
复制代码
事实上我们可以用前面说过的JSON方法(详情请戳:http://www.cnblogs.com/foodoir/p/5894760.html)让我们的代码更简化,设置和删除操作跟读取操作类似,在这里我们同时对cookie进行读取、设置和删除操作,示例代码如下:
复制代码
varCookieUtil={
//根据key读取cookie
get:function(name){
//注意对键编码
varcookieName=encodeURIComponent(name)+"=",
cookieStart=document.cookie.indexOf(cookieName),
cookieValue=null,
cookieEnd;
//找到cookie键
if(cookieStart>-1){
//键后面第一个分号位置
cookieEnd=document.cookie.indexOf(";",cookieStart);
if(cookieEnd==-1){
cookieEnd=document.cookie.length;
}
//cookie值解码
cookieValue=decodeURIComponent(document.cookie.substring(cookieStart+cookieName.length,cookieEnd));
}
returncookieValue;
},
//设置cookie
set:function(name,value,expires,path,domain,secure){
varcookieText=encodeURIComponent(name)+"="+encodeURIComponent(value);
//失效时间,GMT时间格式
if(expiresinstanceofDate){
cookieText+=";expires="+expires.toGMTString();
}
if(path){
cookieText+=";path="+path;
}
if(domain){
cookieText+=";domain="+domain;
}
if(secure){
cookieText+=";secure";
}
document.cookie=cookieText;
},
//删除cookie,保持相同的键、域、路径、安全选项,然后设置失效时间即可
unset:function(name,path,domain,secure){
this.set(name,"",newDate(0),path,domain,secure);
}
};
复制代码
可以像下面使用上面的方法:
复制代码
//设置cookie
CookieUtil.set("name","foodoir");
CookieUtil.set("age","21");
//读取cookie的值
alert(CookieUtil.get("name"));//foodoir
alert(CookieUtil.get("age"));//21
//删除cookie
CookieUtil.unset("name");
CookieUtil.unset("age");
//设置cookie,包括它的路径、域和失效日期
CookieUtil.set("name","fooodoir","abc","www.baidu.com",newDate("January1,2017"));
//删除刚刚设置的cookie
CookieUtil.unset("name","abc","www.baidu.com");
//设置安全的cookie
CookieUtil.set("name","fooodoir",null,null,null,true);
复制代码
从上面的例子我们不难看出,cookie的读取、设置和删除操作还是很简单的,那么既然cookie这么好用,那我们就用cookie作为数据库来帮我们来存储数据?
不不不!关于cookie,我还有话说,WEB开发时cookie大小是受到限制的,下面是我收集到的一些证据:
一、浏览器允许每个域名所包含的cookie数:
Microsoft指出InternetExplorer8增加cookie限制为每个域名50个,但IE7似乎也允许每个域名50个cookie。
Firefox每个域名cookie限制为50个。
Opera每个域名cookie限制为30个。
Safari/WebKit貌似没有cookie限制。但是如果cookie很多,则会使header大小超过服务器的处理的限制,会导致错误发生。
注:“每个域名cookie限制为20个”将不再正确!但是为了兼容低版本,我们尽量将cookie数控制在20个或20个以下。
二、当很多的cookie被设置,浏览器如何去响应。
除Safari(可以设置全部cookie,不管数量多少),有两个方法:
最少最近使用(leastrecentlyused(LRU))的方法:当Cookie已达到限额,自动踢除最老的Cookie,以使给最新的Cookie一些空间。InternetExplorer和Opera使用此方法。
Firefox很独特:虽然最后的设置的Cookie始终保留,但似乎随机决定哪些cookie被保留没有任何计划。
建议:在Firefox中不要超过Cookie限制
三、不同浏览器间cookie总大小也不同:
Firefox和Safari允许cookie多达4097个字节,包括名(name)、值(value)和等号。
Opera允许cookie多达4096个字节,包括:名(name)、值(value)和等号。
InternetExplorer允许cookie多达4095个字节,包括:名(name)、值(value)和等号。
注意:多字节字符计算为两个字节。在所有浏览器中,任何cookie大小超过限制都被忽略,且永远不会被设置。这样的话,为了兼容低版本,我们尽量控制cookie的大小为4095或4095以下。
不得不说的几个提高cookie的安全性的几个建议
一、对保存到cookie里面的敏感信息必须加密
二、设置HttpOnly为true
1、该属性值的作用就是防止Cookie值被页面脚本读取。
2、但是设置HttpOnly属性,HttpOnly属性只是增加了攻击者的难度,Cookie盗窃的威胁并没有彻底消除,因为cookie还是有可能传递的过程中被监听捕获后信息泄漏。
三、设置Secure为true
1、给Cookie设置该属性时,只有在https协议下访问的时候,浏览器才会发送该Cookie。
2、把cookie设置为secure,只保证cookie与WEB服务器之间的数据传输过程加密,而保存在本地的cookie文件并不加密。如果想让本地cookie也加密,得自己加密数据。
四、给Cookie设置有效期
1、如果不设置有效期,万一用户获取到用户的Cookie后,就可以一直使用用户身份登录。
2、在设置Cookie认证的时候,需要加入两个时间,一个是“即使一直在活动,也要失效”的时间,一个是“长时间不活动的失效时间”,并在Web应用中,首先判断两个时间是否已超时,再执行其他操作。
五、一定不要在cookie中存储重要和敏感的数据
cookie数据并非存储在一个安全的环境中,其中包含的任何数据都可以被其他人访问到,所以不要在cookie中存储如银行卡或个人地址之类的数据。
关于子cookie我有话要说
有时站点需要记录多个cookie,比如多块功能区域都有气泡提示,点击“不再提示”后取消提醒,此时每个区域都需要记录一个很简单的cookie。由于浏览器cookie数量是有限制的,为了减少cookie数量可以使用子cookie的方式。在一个cookie值中使用类似查询字符串的格式可以存储多组键值对,这样就不必每个键值对都占用一个cookie了。子cookie值举例:
iknow=know0=1&know1=1
下面来看一个更具体的例子:
①获取所有子cookie并将它放在一个对象中返回,对象的属性名为子cookie名称,对象的属性值为子cookie的值。
复制代码
getAll:function(name){
varcookieName=encodeURIComponent(name)+"=",
cookieStart=document.cookie.indexOf(cookieName),
cookieValue=null,
cookieEnd,
subCookies,
i,
parts,
result={};
if(cookieStart>-1){
cookieEnd=document.cookie.indexOf(";",cookieStart)
if(cookieEnd==-1){
cookieEnd=document.cookie.length;
}
//取出cookie字符串值
cookieValue=document.cookie.substring(cookieStart+cookieName.length,cookieEnd);
if(cookieValue.length>0){
//用&将cookie值分隔成数组
subCookies=cookieValue.split("&");
for(i=0,len=subCookies.length;i //等号分隔出键值对
parts=subCookies[i].split("=");
//将解码后的兼职对分别作为属性名称和属性值赋给对象
result[decodeURICowww.tt951.commponent(parts[0])]=decodeURIComponent(parts[1]);
}
returnresult;
}
}
returnnull;
}
复制代码
②get()获取单个子cookie。
复制代码
get:function(name,subName){
//获取所有子cookie
varsubCookies=this.getAll(name);
if(subCookies){
//从属性中获取单个子cookie
returnsubCookies[subName];
}else{
returnnull;
}
}
复制代码
③setAll设置整个cookie
复制代码
setAll:function(name,subcookies,expires,path,domain,secure){
varcookieText=encodeURIComponent(name)+"=",
subcookieParts=newArray(),
subName;
//遍历子cookie对象的属性
for(subNameinsubcookies){
//要先检测属性名
if(subName.length>0&&subcookies.hasOwnProperty(subName)){
//属性名和属性值编码后=连接为字符串,并放到数组中
subcookieParts.push(encodeURIComponent(subName)+"="+encodeURIComponent(subcookies[subName]));
}
}
if(subcookieParts.length>0){
//用&连接子cookie串
cookieText+=subcookieParts.join("&");
if(expiresinstanceofDate){
cookieText+=";expires="+expires.toGMTString();
}
if(path){
cookieText+=";path="+path;
}
if(domain){
cookieText+=";domain="+domain;
}
if(secure){
cookieText+=";secure";
}
}else{
cookieText+=";expires="+(newDate(0)).toGMTString();
}
//设置整个cookie
document.cookie=cookieText;
}
复制代码
④set设置单个子cookie
复制代码
set:function(name,subName,value,expires,path,domain,secure){
//获取当前cookie对象
varsubcookies=this.getAll(name)||{};
//单个cookie对应的属性替换
Subcookiewww.baiyuewang.nets[subName]=value;
//重新设置cookie
this.setAll(name,subcookies,expires,path,domain,secure);
}
复制代码
⑤删除cookie
删除整个cookie,将失效时间设置为过期日期即可。
unsetAll:function(name,path,domain,secure){
this.setAll(name,null,newDate(0),path,domain,secure);
}
删除单个子cookie,需要先获取所有子cookie对象,然后删除子cookie对应的属性,最后再将子cookie对象重新设置回去。
复制代码
unset:function(name,subName,path,domain,secure){
//获取当前cookie对象
varsubcookies=this.getAll(name);
if(subcookies){
//删除子cookie对应的属性
deletesubcookies[subName];
//重新设置cookie
this.setAll(name,subcookies,null,path,domain,secure);
}
}
复制代码
关于cookie我们还需要知道的一些知识
【在线状态检测】
开发离线应用时,往往在离线状态时把数据存在本地,而在联机状态时再把数据发送到服务器。html5提供了检测在线状态的方法:navigator.onLine和online/offline事件。
1.navigator.onLine属性
表示当前的网络状态是否在线,true表示在线,false表示离线。当网络状态变化时,该属性也会随之变化。
2.online和offline事件
HTML5提供了这两个事件,会在网络状态变化时触发。online在网络由离线变为在线时触发;offline在网络由在线变为离线时触发。
示例代码如下:
复制代码
Youarecurrently:
切换脱机状态,看看效果
|
|