Web安全学习笔记
1.0

内容索引:

  • 1. 序章
  • 2. 计算机网络与协议
    • 2.1. 网络基础
    • 2.2. UDP协议
    • 2.3. TCP协议
    • 2.4. DHCP协议
    • 2.5. 路由算法
    • 2.6. 域名系统
    • 2.7. HTTP协议簇
      • 2.7.1. HTTP标准
      • 2.7.2. HTTP 版本
      • 2.7.3. HTTPS
      • 2.7.4. Cookie
        • 2.7.4.1. 简介
        • 2.7.4.2. 属性
      • 2.7.5. WebDAV
      • 2.7.6. 参考链接
    • 2.8. 邮件协议族
    • 2.9. SSL/TLS
    • 2.10. IPsec
    • 2.11. Wi-Fi
  • 3. 信息收集
  • 4. 常见漏洞攻防
  • 5. 语言与框架
  • 6. 内网渗透
  • 7. 云安全
  • 8. 防御技术
  • 9. 认证机制
  • 10. 工具与资源
  • 11. 手册速查
  • 12. 其他
Web安全学习笔记
  • »
  • 2. 计算机网络与协议 »
  • 2.7. HTTP协议簇 »
  • 2.7.4. Cookie
  • View page source

2.7.4. Cookie¶

2.7.4.1. 简介¶

Cookie(复数形态Cookies),类型为「小型文本文件」,指某些网站为了辨别用户身份而储存在用户本地终端上的数据。

2.7.4.2. 属性¶

2.7.4.2.1. name¶

cookie的名称。

2.7.4.2.2. value¶

cookie的值。

2.7.4.2.3. expires¶

当 Expires 属性缺省时,表示是会话性 Cookie,在用户关闭浏览器时失效。

2.7.4.2.4. max-age¶

max-age 可以为正数、负数、0。如果 max-age 属性为正数时,浏览器会将其持久化,当 max-age 属性为负数,则表示该 Cookie 只是一个会话性 Cookie。当 max-age 为 0 时,则会立即删除这个 Cookie。Expires 和 max-age 都存在的条件下,max-age 优先级更高。

2.7.4.2.5. domain¶

指定Cookie的域名,默认是当前域名。domain设置时可以设置为自身及其父域,子域可以访问父域的Cookie,反之不能。

2.7.4.2.6. path¶

指定一个 URL 路径,这个路径必须出现在要请求的资源的路径中才可以发送对应的 Cookie。

2.7.4.2.7. secure¶

只能通过 HTTPS 传输。

2.7.4.2.8. httponly¶

限制Cookie仅在HTTP传输过程中被读取,一定程度上防御XSS攻击。

2.7.4.2.9. SameSite¶

SameSite 支持 Strict / Lax / None 三种值。Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。Lax 允许部分第三方请求携带 Cookie,主要是链接、预加载、GET 表单三种情况。Cookie 的 SameSite 属性为 None ,且设置了 Secure 时,无论是否跨站都会发送 Cookie。

Previous Next

© Copyright 2019-2022, Web Security From Lyle.

Built with Sphinx using a theme provided by Read the Docs.