Cookie

1.通信协议

通信协议是指双方实体完成通信或服务所必须遵循的规则和约定。

可以简单地理解为各计算机之间进行相互会话所使用的共同语言。两台计算机在进行通信时，必须使用的通

信协议。

HTTP协议

超文本传输协议是互联网上应用最为广泛的一种网络协议，是一个客户端和服务器端请求和应答的标准

TCP。所有的WWW文件都必须遵守这个标准。客户端发起一个到服务器上指定端口（默认端口为80）的

HTTP请求。

HTTPS 协议

HTTPS 协议，是以安全为目标的 HTTP 通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安

全性 。HTTPS 在HTTP 的基础下加入SSL 层，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要 SSL。

2.COOKIE的概念

Cookie又叫会话跟踪技术是由Web服务器保存在用户浏览器上的小文本文件，它可以包含相关用户的信息。无

论何时用户链接到服务器，Web站点都可以访问Cookie信息 。

3.cookie的特点

禁用Cookie后，无法正常注册登陆。

cookie是与浏览器相关的，不同浏览器之间所保存的cookie也是不能互相访问的；

cookie可以被删除。因为每个cookie都是硬盘上的一个文件；

cookie安全性不够高-xss攻击

4.cookie的使用及封装

Cookie以字符串的形式进行存储的。Key值相同，存储时就会覆盖。

Cookie名称和值可以自己定义,存储的是字符串。不能超过4KB

如果cookie不存在，输出undefined.

添加cookie

document.cookie=‘key = value ; expires=过期时间’;

获取cookie

document.cookie

删除cookie

将cookie的过期时间设为一个过去的时间。

通过控制面板--application--左侧cookie查看浏览器存储的cookie

name:自定义的键值

value:键对应的值

domain:主机(主域名)

path:路径

expires:过期时间

size: cookie的大小， 不能超过4k

httpOnly:跟后端关系比较密切，如果后端设置httpOnly, js代码无法获取，参数为布尔值。

secure:安全，跟http/https设置有关。

samesite:防止CSRF攻击和用户追踪，chrome 51新加的属性。

6. xss攻击

XSS（Cross Site Script）攻击全称跨站脚本攻击，XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧

妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是

JavaScript。

实施XSS攻击需要具备两个条件：

1.需要向web页面注入恶意代码；

2.这些恶意代码能够被浏览器成功的执行。

php解决方法

strip_tags:剥去字符串中的 HTML 标签：

总结：输入过滤、输出转义（编码）。

7.综合应用

1.localStroage和sessionStorage以及cookie的区别

三者都是用于持久化存储数据的，都是存储在浏览器端.

localStorage和sessionStorage都是Web存储，所有的特点几乎都一样，大小5M左右，完全存储在客户端，它们

是因为本地存储数据而存在。

2.cookie也是存储在浏览器端的，大小不超过4k，由服务器端存储在客户端。

3.localStorage属于永久性存储，而sessionStorage是当会话结束的时候，存储的值会被清空，而cookie是通过

设置过期时间来存储的。