Điều gì xảy ra khi cookie hết hạn Javascript?
|
Cookies là các chuỗi dữ liệu nhỏ được lưu trữ trực tiếp trong trình duyệt. Chúng là một phần của giao thức HTTP, được xác định bởi đặc tả RFC 6265 Cookie thường được đặt bởi máy chủ web bằng cách sử dụng phản hồi Một trong những trường hợp sử dụng phổ biến nhất là xác thực
Chúng tôi cũng có thể truy cập cookie từ trình duyệt, sử dụng thuộc tính Có nhiều điều phức tạp về cookie và các tùy chọn của chúng. Trong chương này, chúng tôi sẽ đề cập chi tiết Trình duyệt của bạn có lưu trữ bất kỳ cookie nào từ trang web này không? Giá trị của Để tìm một cookie cụ thể, chúng ta có thể tách Chúng tôi để nó như một bài tập cho người đọc. Ngoài ra, ở cuối chương, bạn sẽ tìm thấy các hàm trợ giúp để thao tác với cookie Chúng ta có thể viết thư cho Thao tác ghi vào Chẳng hạn, cuộc gọi này đặt cookie có tên Nếu bạn chạy nó, thì có thể bạn sẽ thấy nhiều cookie. Đó là bởi vì hoạt động Về mặt kỹ thuật, tên và giá trị có thể có bất kỳ ký tự nào. Để giữ định dạng hợp lệ, chúng phải được thoát bằng hàm Hạn chế Có một số hạn chế
Cookie có một số tùy chọn, nhiều tùy chọn trong số đó rất quan trọng và nên được đặt Các tùy chọn được liệt kê sau
Tiền tố đường dẫn url phải là tuyệt đối. Nó làm cho cookie có thể truy cập được đối với các trang trong đường dẫn đó. Theo mặc định, đó là đường dẫn hiện tại Nếu một cookie được đặt bằng Thông thường, chúng ta nên đặt
Miền xác định nơi có thể truy cập cookie. Tuy nhiên, trong thực tế vẫn còn những hạn chế. Chúng tôi không thể đặt bất kỳ tên miền nào Không có cách nào để cookie có thể truy cập được từ một tên miền cấp 2 khác, vì vậy, Đó là một hạn chế về an toàn, để cho phép chúng tôi lưu trữ dữ liệu nhạy cảm trong cookie chỉ khả dụng trên một trang web Theo mặc định, cookie chỉ có thể truy cập được tại miền đã đặt cookie Xin lưu ý, theo mặc định, cookie cũng không được chia sẻ với tên miền phụ, chẳng hạn như …Nhưng điều này có thể thay đổi. Nếu chúng tôi muốn cho phép các tên miền phụ như Để điều đó xảy ra, khi đặt cookie tại Ví dụ Vì lý do lịch sử, Tóm lại, tùy chọn Theo mặc định, nếu cookie không có một trong các tùy chọn này, nó sẽ biến mất khi đóng trình duyệt. Những cookie như vậy được gọi là "cookie theo phiên" Để cookie tồn tại khi đóng trình duyệt, chúng tôi có thể đặt tùy chọn
Ngày hết hạn cookie xác định thời gian, khi trình duyệt sẽ tự động xóa nó Ngày phải chính xác ở định dạng này, theo múi giờ GMT. Chúng ta có thể sử dụng Nếu chúng tôi đặt
Đó là một giải pháp thay thế cho Nếu được đặt thành 0 hoặc giá trị âm, cookie sẽ bị xóa
Cookie chỉ nên được chuyển qua HTTPS Theo mặc định, nếu chúng tôi đặt cookie ở Nghĩa là, cookie dựa trên tên miền, chúng không phân biệt giữa các giao thức Với tùy chọn này, nếu một cookie được đặt bởi Đó là một thuộc tính bảo mật khác Để hiểu cách nó hoạt động và khi nó hữu ích, hãy xem các cuộc tấn công XSRF Hãy tưởng tượng, bạn đã đăng nhập vào trang web Bây giờ, trong khi duyệt web trong một cửa sổ khác, bạn vô tình đến một trang web khác Trình duyệt gửi cookie mỗi khi bạn truy cập trang web ________ 51 _______7, ngay cả khi biểu mẫu đã được gửi từ ________ 51 _______9. Vì vậy, ngân hàng nhận ra bạn và thực sự thực hiện thanh toán Đó là cái gọi là cuộc tấn công “Cross-Site Request Forgery” (viết tắt là XSRF) Các ngân hàng thực sự được bảo vệ khỏi nó tất nhiên. Tất cả các biểu mẫu được tạo bởi Việc bảo vệ như vậy cần có thời gian để thực hiện mặc dù. Chúng tôi cần đảm bảo rằng mọi biểu mẫu đều có trường mã thông báo bắt buộc và chúng tôi cũng phải kiểm tra tất cả các yêu cầu Tùy chọn cookie ________ 51 _______ 6 cung cấp một cách khác để bảo vệ khỏi các cuộc tấn công như vậy, mà (về lý thuyết) không yêu cầu “mã thông báo bảo vệ csrf” Nó có hai giá trị có thể
Cookie có Nói cách khác, cho dù người dùng nhấp vào liên kết từ thư của họ hoặc gửi biểu mẫu từ Nếu cookie xác thực có tùy chọn Bảo vệ khá đáng tin cậy. Chỉ các thao tác đến từ Mặc dù, có một sự bất tiện nhỏ Khi người dùng theo một liên kết hợp pháp đến Chúng tôi có thể giải quyết vấn đề đó bằng cách sử dụng hai cookie. một cho "sự công nhận chung", chỉ với mục đích nói. “Xin chào, John” và một cái khác dành cho các hoạt động thay đổi dữ liệu với
Một cách tiếp cận thoải mái hơn cũng bảo vệ khỏi XSRF và không phá vỡ trải nghiệm người dùng Chế độ lỏng lẻo, giống như Một cookie
Vì vậy, điều mà Nhưng bất cứ điều gì phức tạp hơn, chẳng hạn như yêu cầu mạng từ một trang web khác hoặc gửi biểu mẫu, sẽ mất cookie Nếu điều đó phù hợp với bạn, thì việc thêm Nhìn chung, Có một nhược điểm
Vì vậy, nếu chúng tôi chỉ dựa vào Nhưng chúng tôi chắc chắn có thể sử dụng Tùy chọn này không liên quan gì đến JavaScript, nhưng chúng tôi phải đề cập đến nó cho đầy đủ Máy chủ web sử dụng tiêu đề Tùy chọn này cấm mọi quyền truy cập JavaScript vào cookie. Chúng tôi không thể nhìn thấy một cookie như vậy hoặc thao tác với nó bằng cách sử dụng Điều đó được sử dụng như một biện pháp phòng ngừa, để bảo vệ khỏi một số cuộc tấn công nhất định khi tin tặc đưa mã JavaScript của chính anh ta vào một trang và đợi người dùng truy cập trang đó. Điều đó hoàn toàn không thể xảy ra, tin tặc sẽ không thể đưa mã của họ vào trang web của chúng tôi, nhưng có thể có lỗi cho phép họ làm điều đó Thông thường, nếu điều đó xảy ra và người dùng truy cập trang web bằng mã JavaScript của hacker, thì mã đó sẽ thực thi và giành quyền truy cập vào Nhưng nếu một cookie là Đây là một tập hợp nhỏ các chức năng để hoạt động với cookie, thuận tiện hơn so với sửa đổi thủ công của Có nhiều thư viện cookie cho điều đó, vì vậy những thư viện này là dành cho mục đích demo. Hoàn toàn làm việc mặc dù Cách ngắn nhất để truy cập cookie là sử dụng biểu thức chính quy Hàm Ở đây Xin lưu ý rằng giá trị cookie được mã hóa, vì vậy, Đặt Để xóa cookie, chúng ta có thể gọi nó với ngày hết hạn âm Cập nhật hoặc xóa phải sử dụng cùng một đường dẫn và tên miền Xin lưu ý. khi chúng tôi cập nhật hoặc xóa cookie, chúng tôi nên sử dụng chính xác các tùy chọn tên miền và đường dẫn giống như khi chúng tôi đặt nó Cùng với nhau. bánh quy. js Cookie được gọi là "bên thứ ba" nếu nó được đặt bởi một tên miền khác với trang mà người dùng đang truy cập Ví dụ
Cookie của bên thứ ba thường được sử dụng cho các dịch vụ theo dõi và quảng cáo, do bản chất của chúng. Chúng bị ràng buộc với miền ban đầu, vì vậy Đương nhiên, một số người không thích bị theo dõi, vì vậy các trình duyệt cho phép tắt các cookie đó Ngoài ra, một số trình duyệt hiện đại sử dụng các chính sách đặc biệt cho các cookie đó
Xin lưu ý Nếu chúng tôi tải tập lệnh từ miền của bên thứ ba, chẳng hạn như Nếu tập lệnh đặt cookie, thì bất kể tập lệnh đến từ đâu – cookie thuộc về miền của trang web hiện tại Chủ đề này hoàn toàn không liên quan đến JavaScript, chỉ là một điều cần lưu ý khi đặt cookie Có một luật ở Châu Âu gọi là GDPR, thực thi một bộ quy tắc để các trang web tôn trọng quyền riêng tư của người dùng. Một trong những quy tắc này là yêu cầu quyền rõ ràng để theo dõi cookie từ người dùng Xin lưu ý, đó chỉ là về theo dõi/xác định/ủy quyền cookie Vì vậy, nếu chúng tôi đặt cookie chỉ lưu một số thông tin, nhưng không theo dõi cũng như không xác định người dùng, thì chúng tôi có thể tự do thực hiện Nhưng nếu chúng tôi định đặt cookie có phiên xác thực hoặc id theo dõi, thì người dùng phải cho phép điều đó Các trang web thường có hai biến thể tuân theo GDPR. Chắc hẳn bạn đã thấy cả hai trên web rồi
GDPR không chỉ về cookie mà còn về các vấn đề khác liên quan đến quyền riêng tư, nhưng điều đó vượt quá phạm vi của chúng tôi Cookie hết hạn có bị xóa không?Hầu hết các cookie đều có ngày hết hạn. 'Cookie phiên' sẽ tự động bị xóa khi bạn đóng trình duyệt . 'Cookie liên tục' được lập trình để lưu lại trên máy tính của bạn trong một số tháng. Bạn có thể xóa chúng theo cách thủ công bất kỳ lúc nào trước khi chúng hết hạn.
Làm cách nào để hết hạn cookie trong JavaScript?Xóa Cookie bằng JavaScript
. tài liệu. cookie = "tên người dùng=; hết hạn=Thứ năm, ngày 01 tháng 1 năm 1970 00. 00. 00 UTC; . set the expires parameter to a past date: document.cookie = "username=; expires=Thu, 01 Jan 1970 00:00:00 UTC; path=/;"; You should define the cookie path to ensure that you delete the right cookie. |
