HTTP状态管理机制之Cookie，状态机制cookie-php手册-PHP中文网

首页

php教程

php手册

HTTP状态管理机制之Cookie，状态机制cookie

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 13, 2016 am 08:47 AM

cookiehttp机制状态管理

HTTP状态管理机制之Cookie，状态机制cookie

cookie 最早是网景公司的雇员 Lou Montulli 在1993年3月发明，后被 W3C 采纳，目前 cookie 已经成为标准，所有的主流浏览器如 IE、Chrome、Firefox、Opera 等都支持。

cookie 的诞生是由于 HTTP 协议的天生缺陷，HTTP 是一种无状态的协议，简单的 Request 和 Response 一旦请求/响应结束，客户端与服务器端的连接就会关闭，再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话，即服务器并不清楚是哪个客户端。

一些典型应用如登陆/购物车就无法实现了。比如，用户 A 在购物商城购买的商品都应该放在 A 的购物车内，不论是用户 A 什么时间购买的，这都是属于同一个会话的，不能放入用户 B 或用户 C 的购物车内，这不属于同一个会话。

基本的原理如图

对 cookie 的操作包括如下

注意，cookie 多数时候由服务器端创建，JS 也可以创建 cookie，但 HttpOnly 类型的 JS 无法创建。

浏览器提供的 cookie API （document.cookie）实在过于简陋，可以稍封装下，如以下采用setter/getter方式 cookie 函数就方便了许多

/*
 * JS 写cookie和读cookie操作
 *
 * **取cookie**
 *   cookie(name)
 *
 * **写cookie**
 *   cookie(name, value)
 *   cookie(name, value, option)
 */
var cookie = function(name, value, option) {
	var doc = document
	if (value != undefined) { // set 
		option = option || {}
		if (value === null) {
			value = ''
			option.expires = -1
		}
		var expires = ''
		if (option.expires && (typeof option.expires == 'number' || option.expires.toUTCString)) {
			var date = new Date
			if (typeof option.expires == 'number') {
				date.setTime(date.getTime() + (option.expires * 24 * 60 * 60 * 1000))
			} else {
				date = option.expires
			}
			// for IE
			expires = '; expires=' + date.toUTCString()
		}
		var path   = option.path ? '; path=' + option.path : ''
		var domain = option.domain ? '; domain=' + option.domain : ''
		var secure = option.secure ? '; secure' : ''
		doc.cookie = [name, '=', encodeURIComponent(value), expires, path, domain, secure].join('')

	} else { // get 
		var cookieValue = null
		if (doc.cookie && doc.cookie != '') {
			var cookies = doc.cookie.split(';')
			for (var i = 0; i < cookies.length; i++) {
				var cookie = $.trim(cookies[i]).split('=')
				if ( cookie[0] == name && cookie.length > 1 ) {
					try {
						cookieValue = decodeURIComponent(cookie[1])
					} catch(e) {
						cookieValue = cookie[1]
					}
					break
				}
			}
		}
		return cookieValue
	}
};

当然，还有更方便的 https://github.com/florian/cookie.js，提供了更多便捷函数。

比如，在新浪云上测试页面：http://snandy.sinaapp.com/php/cookie.php，我种了 3 个 cookie，分别是 c1, c2, c3

$d1 = mktime(1,1,1,1,1,2018);
// 普通cookie
setcookie("c1", "Jack", $d1); 

// 安全的cookie，仅https，第6个参数
setcookie("c2", "John", $d1, NULL, NULL, TRUE); 

// HttpOnly cookie 第7个参数
setcookie("c3", "Resig", $d1, NULL, NULL, NULL, TRUE);

用 Firefox 访问

我种的三个都有，saeut是新浪云种的。

在 firebug 控制台输入 document.cookie

可以看到，c2，c3 都是访问不到的。c2 是安全的cookie，需要在https协议下访问，c3 则是 httpOnly 的，JS无法访问，这个需要注意。

把访问协议改成 https： https://snandy.sinaapp.com/php/cookie.php，firebug 切换到控制台再输入 document.cookie，可以看到 c2 就可以访问了

1. Cookie 太大或数量过多时页面访问报错，比如会出现如下提示

因此站点的 cookie 需要管理，不能随意种 cookie。另外尽量指定path，将cookie限定在指定范围内。

网站 browsercookielimits.squawky.net ，记录了各浏览器 cookie 大小

2. 保存中文时需要Unicode编码(encodeURIComponent)，否则存的是乱码

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

Springboot怎么使用内置tomcat禁止不安全HTTPMay 12, 2023 am 11:49 AM

Springboot内置tomcat禁止不安全HTTP方法1、在tomcat的web.xml中可以配置如下内容让tomcat禁止不安全的HTTP方法/*PUTDELETEHEADOPTIONSTRACEBASIC2、Springboot使用内置tomcat没有web.xml配置文件，可以通过以下配置进行，简单来说就是要注入到Spring容器中@ConfigurationpublicclassTomcatConfig{@BeanpublicEmbeddedServletContainerFacto

JAVA发送HTTP请求的方式有哪些Apr 15, 2023 am 09:04 AM

1.HttpURLConnection使用JDK原生提供的net，无需其他jar包，代码如下：importcom.alibaba.fastjson.JSON;importjava.io.BufferedReader;importjava.io.InputStream;importjava.io.InputStreamReader;importjava.io.OutputStream;importjava.net.HttpURLConnection;

Nginx的HTTP2协议优化与安全设置Jun 10, 2023 am 10:24 AM

随着互联网的不断发展和改善，Web服务器在速度和性能上的需求也越来越高。为了满足这样的需求，Nginx已经成功地掌握了HTTP2协议并将其融入其服务器的性能中。HTTP2协议要比早期的HTTP协议更加高效，但同时也存在着特定的安全问题。本文将为您详细介绍如何进行Nginx的HTTP2协议优化和安全设置。一、Nginx的HTTP2协议优化1.启用HTTP2在N

nginx中如何升级到支持HTTP2.0May 24, 2023 pm 10:58 PM

一、前言#ssl写在443端口后面。这样http和https的链接都可以用listen443sslhttp2default_server;server_namechat.chengxinsong.cn;#hsts的合理使用，max-age表明hsts在浏览器中的缓存时间，includesubdomainscam参数指定应该在所有子域上启用hsts，preload参数表示预加载，通过strict-transport-security:max-age=0将缓存设置为0可以撤销hstsadd_head

Nginx中HTTP的keepalive怎么配置May 12, 2023 am 11:28 AM

httpkeepalive在http早期，每个http请求都要求打开一个tpcsocket连接，并且使用一次之后就断开这个tcp连接。使用keep-alive可以改善这种状态，即在一次tcp连接中可以持续发送多份数据而不会断开连接。通过使用keep-alive机制，可以减少tcp连接建立次数，也意味着可以减少time_wait状态连接，以此提高性能和提高httpd服务器的吞吐率(更少的tcp连接意味着更少的系统内核调用,socket的accept()和close()调用)。但是，keep-ali

Python的HTTP客户端模块urllib与urllib3怎么使用May 20, 2023 pm 07:58 PM

一、urllib概述：urllib是Python中请求url连接的官方标准库，就是你安装了python，这个库就已经可以直接使用了，基本上涵盖了基础的网络请求功能。在Python2中主要为urllib和urllib2，在Python3中整合成了urllib。Python3.x中将urllib2合并到了urllib，之后此包分成了以下四个模块：urllib.request：它是最基本的http请求模块，用来模拟发送请求urllib.error：异常处理模块，如果出现错误可以捕获这些异常urllib

怎么利用Java实现调用http请求Jun 02, 2023 pm 04:57 PM

一、概述在实际开发过程中，我们经常需要调用对方提供的接口或测试自己写的接口是否合适。很多项目都会封装规定好本身项目的接口规范，所以大多数需要去调用对方提供的接口或第三方接口（短信、天气等）。在Java项目中调用第三方接口的方式有：1、通过JDK网络类Java.net.HttpURLConnection；2、通过common封装好的HttpClient；3、通过Apache封装好的CloseableHttpClient；4、通过SpringBoot-RestTemplate；二、Java调用第三方

Nginx http运行状况健康检查如何配置May 14, 2023 pm 06:10 PM

被动检查对于被动健康检查，nginx和nginxplus会在事件发生时对其进行监控，并尝试恢复失败的连接。如果仍然无法恢复正常，nginx开源版和nginxplus会将服务器标记为不可用，并暂时停止向其发送请求，直到它再次标记为活动状态。上游服务器标记为不可用的条件是为每个上游服务器定义的，其中包含块中server指令的参数upstream：fail_timeout-设置服务器标记为不可用时必须进行多次失败尝试的时间，以及服务器标记为不可用的时间（默认为10秒）。max_fails-设置在fai

See all articles