欧美精品在线视频,欧美日韩中,亚洲综合在线播放

什么是Cookie

Cookie（也叫Web Cookie或瀏覽器Cookie）是服務器發送到用戶瀏覽器并保存在本地的一小塊數據，它會在瀏覽器下次向同一服務器再發起請求時被攜帶并發送到服務器上。通常，它用于告知服務端兩個請求是否來自同一瀏覽器，如保持用戶的登錄狀態。Cookie使基于無狀態的HTTP協議記錄穩定的狀態信息成為了可能。

Cookie主要用于以下三個方面：

會話狀態管理（如用戶登錄狀態、購物車、游戲分數或其它需要記錄的信息）
個性化設置（如用戶自定義設置、主題等）
瀏覽器行為跟蹤（如跟蹤分析用戶行為等）

Go語言如何表示Cookie

在Go的net/http庫中使用http.Cookie結構體表示一個Cookie數據，調用http.SetCookie函數則會告訴終端用戶的瀏覽器把給定的http.Cookie值設置到瀏覽器Cookie里，類似下面：

				?

									func someHandler(w http.ResponseWriter, r *http.Request) {

									 c := http.Cookie{

									  Name: "UserName",

									  Value: "Casey",

									 }

									 http.SetCookie(w, &c)

									}

http.Cookie結構體類型的定義如下：

				?

									type Cookie struct {

									  Name string

									  Value string

									  Path    string  // optional

									  Domain   string  // optional

									  Expires  time.Time // optional

									  RawExpires string  // for reading cookies only

									  // MaxAge=0 means no 'Max-Age' attribute specified.

									  // MaxAge<0 means delete cookie now, equivalently 'Max-Age: 0'

									  // MaxAge>0 means Max-Age attribute present and given in seconds

									  MaxAge  int

									  Secure  bool

									  HttpOnly bool

									  SameSite SameSite

									  Raw   string

									  Unparsed []string // Raw text of unparsed attribute-value pairs

									}

Name和Value字段就不多說了，單獨針對幾個需要解釋的字段進行說明。

Domain

默認值是當前正在訪問的Host的域名，假設我們現在正在訪問的是www.example.com，如果需要其他子域名也能夠訪問到正在設置的Cookie值的話，將它設置為example.com 。注意，只有正在被設置的Cookie需要被其他子域名的服務訪問到時才這么設置。

				?

									c := Cookie{

									 ......

									 Domain: "example.com",

									}

Path

設置當前的 Cookie 值只有在訪問指定路徑時才能被服務器程序讀取。默認為服務端應用程序上的任何路徑，但是您可以使用它限制為特定的子目錄。例如：

				?

									c := Cookie{

									 Path: "/app/",

									}

Secure

標記為Secure 的Cookie只應通過被HTTPS協議加密過的請求發送給服務端。但即便設置了 Secure 標記，敏感信息也不應該通過Cookie傳輸，因為Cookie有其固有的不安全性，Secure 標記也無法提供確實的安全保障。從 Chrome 52 和 Firefox 52 開始，不安全的站點（http:）無法使用Cookie的 Secure 標記。

HttpOnly

為避免跨域腳本 (XSS) 攻擊，通過JavaScript的API無法訪問帶有 HttpOnly 標記的Cookie，它們只應該發送給服務端。如果包含服務端Session 信息的Cookie 不想被客戶端JavaScript 腳本調用，那么就應該為其設置 HttpOnly 標記。

安全地傳輸Cookie

接下來我們探討兩種安全傳輸Cookie的方法

對Cookie數據進行數字簽名

對數據進行數字簽名是在數據上添加“簽名”的行為，以便可以驗證其真實性。不需要對數據進行加密或屏蔽。

簽名的工作方式是通過散列-我們對數據進行散列，然后將數據與數據散列一起存儲在Cookie中。然后，當用戶將Cookie發送給我們時，我們再次對數據進行哈希處理，并驗證其是否與我們創建的原始哈希匹配。

我們不希望用戶也用篡改后的數據創建新的哈希，因此經常會看到使用HMAC之類的哈希算法，以便可以使用密鑰對數據進行哈希。這樣可以防止最終用戶同時編輯數據和數字簽名（哈希）。

JWT也是使用的這種數字簽名的方式進行傳輸的。

上面的數據簽名過程并不需要我們自己去實現，我們可以在Go中使用gorilla/securecookie的程序包來完成此操作，在該程序包中，你可以在創建SecureCookie時為其提供哈希密鑰，然后使用該對象來保護你的Cookie。

對Cookie數據進行簽名：

				?

									//var s = securecookie.New(hashKey, blockKey)

									var hashKey = securecookie.GenerateRandomKey(64)

									var s = securecookie.New(hashKey, nil)

									func SetCookieHandler(w http.ResponseWriter, r *http.Request) {

									 encoded, err := s.Encode("cookie-name", "cookie-value")

									 if err == nil {

									  cookie := &http.Cookie{

									   Name: "cookie-name",

									   Value: encoded,

									   Path: "/",

									  }

									  http.SetCookie(w, cookie)

									  fmt.Fprintln(w, encoded)

									 }

解析被簽名的 Cookie:

				?

									func ReadCookieHandler(w http.ResponseWriter, r *http.Request) {

									 if cookie, err := r.Cookie("cookie-name"); err == nil {

									  var value string

									  if err = s.Decode("cookie-name", cookie.Value, &value); err == nil {

									   fmt.Fprintln(w, value)

									  }

									 }

									}

注意這里的Cookie數據未加密，僅僅是被編碼了，任何人都可以把Cookie數據解碼回來。

加密Cookie 數據

每當將數據存儲在Cookie中時，請始終盡量減少存儲在Cookie中的敏感數據量。不要存儲用戶密碼之類的東西，并確保任何編碼數據也沒有此信息。在某些情況下，開發人員在不知不覺中將敏感數據存儲在Cookie或JWT中，因為它們是base64編碼的，但實際上任何人都可以解碼該數據。它已編碼，未加密。

這是一個很大的錯誤，因此，如果你擔心意外存儲敏感內容，建議你使用gorilla/securecookie之類的軟件包。

之前我們討論了如何將其用于對Cookie進行數字簽名，但是securecookie也可以用于加密和解密Cookie數據，以使其無法輕松解碼和讀取。

要使用該軟件包加密Cookie，只需在創建SecureCookie實例時傳入一個blockKey即可。

將上面簽名Cookie的代碼片段進行一些小改動，其他地方完全不用動，securecookie包會幫助我們進行Cookie的加密和解密：

				?

									var hashKey = securecookie.GenerateRandomKey(64)

									var blockKey = securecookie.GenerateRandomKey(32)

									var s = securecookie.New(hashKey, blockKey)