HTTP Cookie 深入解析：Web 会话追踪机制

基本格式

完整的 Set-Cookie 示例

时间格式必须遵守 RFC 1123 标准，具体格式样例：Tue, 01 Jan 2030 12:34:56 GMT 或者 UTC（推荐）。

关于时间解释：

• Tue: 星期二（星期几的缩写）
• , : 逗号分隔符
• 18: 日期（两位数表示）
• Thu: 月份的缩写
• 2024: 年份（四位数）
• 12:34:56: 时间（小时、分钟、秒）
• GMT: 格林威治标准时间（时区缩写）

GMT 和 UTC 都曾是或现在是国际上重要的时间标准，但由于地球自转的不规则性和原子钟的精确性，UTC 已经成为了全球性的标准时间，而 GMT 则更多被用作历史和地理上的参考。

其他可选属性的解释

• expires=<date>：设置 Cookie 的过期日期/时间。如果未指定此属性，则 Cookie 默认为会话 Cookie，即当浏览器关闭时过期。
• path=<some_path>：限制 Cookie 发送到服务器的哪些路径。默认为设置它的路径。
• domain=<domain_name>：指定哪些主机可以接受该 Cookie。默认为设置它的主机。
• secure：仅当使用 HTTPS 协议时才发送 Cookie。这有助于防止 Cookie 在不安全的 HTTP 连接中被截获。
• HttpOnly：标记 Cookie 为 HttpOnly，意味着该 Cookie 不能被客户端脚本（如 JavaScript）访问。这有助于防止跨站脚本攻击（XSS）。

以下是对 Set-Cookie 头部字段的简洁介绍：

注意事项

• 每个 Cookie 属性都以分号（;）和空格（ ）分隔。
• 名称和值之间使用等号（=）分隔。
• 如果 Cookie 的名称或值包含特殊字符（如空格、分号、逗号等），则需要进行 URL 编码。

Cookie 的生命周期

• 如果设置了 expires 属性，则 Cookie 将在指定的日期/时间后过期。
• 如果没有设置 expires 属性，则 Cookie 默认为会话 Cookie，即当浏览器关闭时过期。

安全性考虑

• 使用 secure 标志可以确保 Cookie 仅在 HTTPS 连接上发送，从而提高安全性。
• 使用 HttpOnly 标志可以防止客户端脚本（如 JavaScript）访问 Cookie，从而防止 XSS 攻击。
• 通过合理设置 Set-Cookie 的格式和属性，可以确保 Cookie 的安全性、有效性和可访问性，从而满足 Web 应用程序的需求。

实验测试 Cookie

测试 Cookie 写入到浏览器

resp.AddHeader("Set-Cookie: username=zhangsan;"); // 响应中添加一行报头即可

测试自动提交

测试写入过期时间

这里要由我们自己形成 UTC 统一标准时间：

// 时间格式如：expires=Thu, 18 Dec 2024 12:00:00 UTC
std::string GetMonthName(int month) {
    std::vector<std::string> months = {"Jan", "Feb", "Mar", "Apr", "May", "Jun", "Jul", "Aug", "Sep", "Oct", "Nov", "Dec"};
    return months[month];
}

std::string GetWeekDayName(int day) {
    std::vector<std::string> weekdays = {"Sun", "Mon", "Tue", "Wed", "Thu", "Fri", "Sat"};
    return weekdays[day];
}

std::string ExpireTimeUseRfc1123(int t) // 秒级别的未来 UTC 时间
{
    time_t timeout = time(nullptr) + t;
    struct tm* tm = gmtime(&timeout); // 这里不能用 localtime，因为 localtime 是默认带了时区的。gmtime 获取的就是 UTC 统一时间
    char timebuffer[1024];
    // 时间格式如：expires=Thu, 18 Dec 2024 12:00:00 UTC
    snprintf(timebuffer, sizeof(timebuffer), "%s, %02d %s %d %02d:%02d:%02d UTC",
             GetWeekDayName(tm->tm_wday).c_str(),
             tm->tm_mday,
             GetMonthName(tm->tm_mon).c_str(),
             tm->tm_year + 1900,
             tm->tm_hour,
             tm->tm_min,
             tm->tm_sec);
    return timebuffer;
}

测试路径 Path

提交到非 /a/b 路径下：

• 比如：http://8.137.19.140:8888/a/x
• 比如：http://8.137.19.140:8888/
• 比如：http://8.137.19.140:8888/x/y

单独使用 Cookie，有什么问题？

• 我们写入的是测试数据，如果写入的是用户的私密数据呢？比如，用户名密码，浏览痕迹等。
• 本质问题在于这些用户私密数据在浏览器 (用户端) 保存，非常容易被人盗取，更重要的是，除了被盗取，还有就是用户私密数据也就泄漏了。

参考实现代码

#pragma once
#include <iostream>
#include <string>
#include <sstream>
#include <vector>
#include <memory>
#include <ctime>
#include "TcpServer.hpp"

const std::string HttpSep = "\r\n"; // 可以配置的
const std::string homepage = "index.html";
const std::string wwwroot = "./wwwroot";

class HttpRequest {
public:
    HttpRequest() : _req_blank(HttpSep), _path(wwwroot) {}

    bool GetLine(std::string &str, std::string *line) {
        auto pos = str.find(HttpSep);
        if (pos == std::string::npos) return false;
        *line = str.substr(0, pos); // \r\n
        str.erase(0, pos + HttpSep.size());
        return true;
    }

    bool Deserialize(std::string &request) {
        std::string line;
        bool ok = GetLine(request, &line);
        if (!ok) return false;
        _req_line = line;
        while (true) {
            bool ok = GetLine(request, &line);
            if (ok && line.empty()) {
                _req_content = request;
                break;
            } else if (ok && !line.empty()) {
                _req_header.push_back(line);
            } else {
                break;
            }
        }
        return true;
    }

    ~HttpRequest() {}

private:
    // http 报文自动
    std::string _req_line; // method url http_version
    std::vector<std::string> _req_header;
    std::string _req_blank;
    std::string _req_content;
    // 解析之后的内容
    std::string _method;
    std::string _url; // /dira/dirb/x.html /dira/dirb/XX?usrname=100&&password=1234 /dira/dirb
    std::string _http_version;
    std::string _path; // "./wwwroot"
    std::string _suffix; // 请求资源的后缀
};

const std::string BlankSep = " ";
const std::string LineSep = "\r\n";

class HttpResponse {
public:
    HttpResponse() : _http_version("HTTP/1.0"), _status_code(200), _status_code_desc("OK"), _resp_blank(LineSep) {}

    void SetCode(int code) { _status_code = code; }
    void SetDesc(const std::string &desc) { _status_code_desc = desc; }

    void MakeStatusLine() {
        _status_line = _http_version + BlankSep + std::to_string(_status_code) + BlankSep + _status_code_desc + LineSep;
    }

    void AddHeader(const std::string &header) { _resp_header.push_back(header + LineSep); }
    void AddContent(const std::string &content) { _resp_content = content; }

    std::string Serialize() {
        MakeStatusLine();
        std::string response_str = _status_line;
        for (auto &header : _resp_header) {
            response_str += header;
        }
        response_str += _resp_blank;
        response_str += _resp_content;
        return response_str;
    }

    ~HttpResponse() {}

private:
    std::string _status_line;
    std::vector<std::string> _resp_header;
    std::string _resp_blank;
    std::string _resp_content; // body
    // httpversion StatusCode StatusCodeDesc
    std::string _http_version;
    int _status_code;
    std::string _status_code_desc;
};

class Http {
private:
    std::string GetMonthName(int month) {
        std::vector<std::string> months = {"Jan", "Feb", "Mar", "Apr", "May", "Jun", "Jul", "Aug", "Sep", "Oct", "Nov", "Dec"};
        return months[month];
    }

    std::string GetWeekDayName(int day) {
        std::vector<std::string> weekdays = {"Sun", "Mon", "Tue", "Wed", "Thu", "Fri", "Sat"};
        return weekdays[day];
    }

    std::string ExpireTimeUseRfc1123(int t) // 秒级别的未来 UTC 时间
    {
        time_t timeout = time(nullptr) + t;
        struct tm* tm = gmtime(&timeout); // 这里不能用 localtime，因为 localtime 是默认带了时区的。gmtime 获取的就是 UTC 统一时间
        char timebuffer[1024];
        // 时间格式如：expires=Thu, 18 Dec 2024 12:00:00 UTC
        snprintf(timebuffer, sizeof(timebuffer), "%s, %02d %s %d %02d:%02d:%02d UTC",
                 GetWeekDayName(tm->tm_wday).c_str(),
                 tm->tm_mday,
                 GetMonthName(tm->tm_mon).c_str(),
                 tm->tm_year + 1900,
                 tm->tm_hour,
                 tm->tm_min,
                 tm->tm_sec);
        return timebuffer;
    }

public:
    Http(uint16_t port) {
        _tsvr = std::make_unique<TcpServer>(port, std::bind(&Http::HandlerHttp, this, std::placeholders::_1));
        _tsvr->Init();
    }

    std::string ProveCookieWrite() // 证明 cookie 能被写入浏览器
    {
        return "Set-Cookie: username=zhangsan;";
    }

    std::string ProveCookieTimeOut() {
        return "Set-Cookie: username=zhangsan; expires=" + ExpireTimeUseRfc1123(60) + ";"; // 让 cookie 1min 后过期
    }

    std::string ProvePath() {
        return "Set-Cookie: username=zhangsan; path=/a/b;";
    }

    std::string ProveOtherCookie() {
        return "Set-Cookie: passwd=1234567890; path=/a/b;";
    }

    std::string HandlerHttp(std::string request) {
        HttpRequest req;
        req.Deserialize(request);
        req.DebugHttp();
        lg.LogMessage(Debug, "%s\n", ExpireTimeUseRfc1123(60).c_str());

        HttpResponse resp;
        resp.SetCode(200);
        resp.SetDesc("OK");
        resp.AddHeader("Content-Type: text/html");
        // resp.AddHeader(ProveCookieWrite()); // 测试 cookie 被写入与自动提交
        // resp.AddHeader(ProveCookieTimeOut()); // 测试过期时间的写入
        // resp.AddHeader(ProvePath()); // 测试路径
        resp.AddHeader(ProvePath());
        resp.AddHeader(ProveOtherCookie());
        resp.AddContent("<html><h1>helloworld</h1></html>");
        return resp.Serialize();
    }

    void Run() { _tsvr->Start(); }

    ~Http() {}

private:
    std::unique_ptr<TcpServer> _tsvr;
};