网站后台信息管理怎么做黄页网络的推广软件

定义：

简单来说cookie就是一段 key-value 形式的文本片段，通讯时服务器可通过 http header 下发 cookie 信息记录到用户浏览器;浏览器在后续通讯时会自动带上。

document.cookie = "username=John Doe; expires=Thu, 18 Dec 2023 12:00:00 UTC; path=/";

cookie的作用

http 本身是一种无状态协议，服务器无法单纯从网络协议层面判定用户身份，因此需要通过 cookie 方式持久化用户凭证，让服务器能映射回用户信息。，主要用于实现记录用户登录状态、浏览器行为跟踪。

cookie的使用

• 在 is 中写入;后续浏览器会自动帮我们带上

// 设置cookie
function setCookie(name, value) {document.cookie = `${name}=${value};path=/`;
}// 获取cookie
function getCookie(name) {let cookies = document.cookie.split('; ');for (let i = 0; i < cookies.length; i++) {let cookiePair = cookies[i].split('=');if (name == cookiePair[0]) {return cookiePair[1];}}return null;
}// 使用示例
setCookie('name', 'John'); // 设置一个名为 'name' 的 cookie，值为 'John'
console.log(getCookie('name')); // 获取并输出 'name' 的 cookie 值

• 可通过服务器 response 的 set-cookie 头下发

HTTP/1.1 200 OK
Content-type: text/html
Set-Cookie: name=John; Expires=Wed, 09 Jun 2021 10:18:14 GMT

cookie的安全性

Set-Cookie: id=a3fWa; Max-Age=2592000; Path=/; Domain=somecompany.co.uk; Secure; HttpOnly; SameSite=Lax; Expires=Wed, 21 Oct 2015 07:28:00 GMT

Max-age:cookie 有效期
expires:cookie 过期时间，但需注意：若同时设置 Expires 和 Max-Age，浏览器优先采用 Max-Age‌
path:cookie 生效路径,(当前:http://ww.baidu.com;path: /foo/bar)，可被域下所有路径访问，若需限制作用范围（如仅 /api），需更精确设置‌。
secure:仅允许通过 HTTPS 传输 Cookie，防止明文传输被截获‌。
HttpOnly:禁止 JavaScript 访问 Cookie（即无法通过docuemnt.cookie获取cookie），降低 XSS 攻击窃取风险‌。
domain:指定 cookie 可以送达的域名，也就是这个 cookie 能在哪些地方用;默认为当前页面所在域名;可有效防止 csrf，有一个细节，xxx.com 为严格域名;.xxx.com 为宽松域名，对子域名也能生效，但 fetch 时需要带上credentials":"include
samesite:允许部分跨域请求携带 Cookie（如导航跳转），平衡安全性与功能性‌，可用于防御 csrf 攻击，属性值有：

• strict:仅同源请求发送 cookie，但过于严格，通常不太会用(例如，当前网页有一个 GitHub 链接，用e户点击跳转就不会带有GitHub 的 Cookie，跳转过去总是末登陆状态。)
• lax:稍微宽松，也限定为仅同源请求发送 cookie，但链接跳转的 get 请求除外
• none:不作限制，但要求同时设置Secure

使用 Cookie 存储用户登录状态

• 用户打开网页后，服务端生成随机、唯一会话标识符(session id)，通常还会设置超时时间。
• 用户登录后，服务端记录 session id 到 user 的关联关系(内存、redis、持久化数据库等)
• 用户再次发送请求后，服务端通过 session id 找到对应 user 信息，从而实现 session 到 user 的映射
• 所以，理想方案下 cookie 并不记录用户(这也是一个安全问题)，而是记录当前会话

优点:

• 应用简单，几乎不需要额外配置
• 非常标准，几乎所有服务端框架都支持

问题:

• 应尽可能减少 cookie 的使用，应用会带来网络负担
• 仅在浏览器可用，app 等场景下使用 http 时不生效
• 服务端需要记录 cookie 到用户信息的映射，压力大
• 分布式服务器场景下，需要在多服务器间共享用户态，对服务端压力较大大小有限制

最佳实践:

• 不要在cookie 存储敏感信息
• 强制启动 secure;建议启动 HttpOnly

其他存储用户登录状态方案

1. ‌Session 方案‌
实现步骤‌：
（1） 用户登录后，服务端创建 Session 记录并返回 Session ID
（2） 客户端通过 Cookie 或 URL 参数携带 Session ID‌
（3）服务端根据 ID 查询 Session 数据验证身份

优点‌：

• 服务端完全控制会话状态，安全性高
• 支持强制注销和会话续期‌

缺点‌：

• 服务端存储压力大，需依赖 Redis 等缓存优化‌
• 不适用于分布式系统（需额外同步机制）‌

2. Token 方案（JWT）‌
实现步骤‌：
（1）服务端生成含用户 ID 和有效期的 Token，通过签名防篡改‌

// 生成 Token  
const token = jwt.sign({ userId: 123 }, 'secret-key', { expiresIn: '1h' });  

（2）客户端存储 Token 于 localStorage 或 Cookie，请求时通过 Header 发送
（3）服务端解密 Token 并验证有效性

优点‌：

• 无状态设计，天然支持分布式架构
• 可包含扩展字段（如权限角色）‌

缺点‌：

• Token 泄露后无法主动失效（需结合黑名单机制）‌
• 需自行实现自动续期逻辑

3. 本地存储方案‌
实现步骤‌：
（1） 登录成功后，将 Token 或用户数据存入浏览器存储：

// 持久化存储  
localStorage.setItem('user', JSON.stringify({ name: 'Alice', token: 'xxx' }));  
// 会话级存储  
sessionStorage.setItem('tempData', 'value');  

（2）前端路由拦截校验存储数据‌
优点‌：

• 完全由前端控制，灵活性高
• 支持复杂数据结构（如 JSON 对象）‌

缺点‌：

• 易受 XSS 攻击窃取数据（需配合 CSP 策略）‌
• 浏览器隐私模式可能导致存储失效