安全cookie setSecure详解
http://www.coin163.com/java/docs/201304/d_2775029502.html
? 在cas中或其他web開(kāi)發(fā)中,會(huì)碰到安全cookie的概念,因?yàn)镃AS中TGT是存放在安全cookie中的。下面是安全cookie 的理解:
??? Set-Cookie 的 secure 屬性就是處理這方面的情況用的,它表示創(chuàng)建的 cookie 只能在 HTTPS 連接中被瀏覽器傳遞到服務(wù)器端進(jìn)行會(huì)話驗(yàn)證,如果是 HTTP 連接則不會(huì)傳遞該信息,所以絕對(duì)不會(huì)被竊聽(tīng)到。
???? 在setSecure(true); 的情況下,只有https才傳遞到服務(wù)器端。http是不會(huì)傳遞的。
??? j2ee servlet的接口中也定義了Cookie對(duì)象,也有其方法setSecue(false);
?? 關(guān)于setSecure的問(wèn)題,在http連接下:
? 當(dāng)setSecure(true)時(shí),瀏覽器端的cookie會(huì)不會(huì)傳遞到服務(wù)器端?
? 當(dāng)setSecure(true)時(shí),服務(wù)器端的cookie會(huì)不會(huì)傳遞到瀏覽器端?
?? 答案:1)不會(huì) ; 2)會(huì)
??? 原理:服務(wù)器端的Cookie對(duì)象是java中的對(duì)象,請(qǐng)不要和瀏覽器端的cookie文件混淆了。服務(wù)器端的Cookie對(duì)象是方便java程序員包裝一個(gè)瀏覽器端的cookie文件。一旦包裝好,就放到response對(duì)象中,在轉(zhuǎn)換成http頭文件。在傳遞到瀏覽器端。這時(shí)就會(huì)在瀏覽器的臨時(shí)文件中創(chuàng)建一個(gè)cookie文件。
?????但我們?cè)俅卧L問(wèn)網(wǎng)頁(yè)時(shí),才查看瀏覽器端的cookie文件中的secure值,如果是true,但是http連接。這個(gè)cookie就不會(huì)傳到服務(wù)器端。當(dāng)然這個(gè)過(guò)程對(duì)瀏覽器是透明的。其他人是不會(huì)知道的。
??? 總結(jié)如下:cookie的secure值為true時(shí),在http中是無(wú)效的;在https中才有效。
?
總結(jié)
以上是生活随笔為你收集整理的安全cookie setSecure详解的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: servlet 认证,授权
- 下一篇: Servlet 3.0 新特性详解