Java Cookie 的基础概念、工作原理及属性。涵盖了 Servlet API 操作 Cookie 的方法,以及 Spring Boot 中通过 HttpServletResponse、@CookieValue 和 ResponseCookie 的三种实现方式。重点讲解了 HttpOnly、Secure、SameSite 等安全属性配置,防止 XSS、嗅探和 CSRF 攻击。提供了登录认证、购物车管理、跨域共享及记住我功能的完整代码示例,并探讨了 Cookie 与 Session 的关系、替代方案及隐私合规要求,适合 Java Web 开发者参考。
想象一下你去一家超市购物。超市给你一张会员卡(Cookie),上面记录了一个唯一的号码(如 session_id=abc123)。下次你再去同一家超市(网站),出示这张卡(浏览器自动发送 Cookie),超市(服务器)就能认出你(识别用户状态),知道你上次买了什么(个性化推荐),或者直接让你进入会员区(保持登录状态)。
技术定义: Cookie 是服务器发送到用户浏览器并保存在本地的一小块数据。浏览器会存储它,并在下一次向同一服务器发起请求时携带上它。Cookie 使得服务器能够识别请求是否来自同一个浏览器,从而在无状态的 HTTP 协议上实现状态管理。
HTTP 协议本身是无状态的。这意味着服务器处理每个请求时,它'不记得'之前处理过哪些请求。这就像每次你去银行柜台办事,柜员都把你当作第一次见面的陌生人。这显然不行!
Cookie 的主要作用就是解决这个问题,实现:
example.com。Set-Cookie 指令,例如 Set-Cookie: user_id=12345; Max-Age=3600; Path=/; HttpOnly。user_id=12345)及其属性(有效期 1 小时、作用于整个站点、仅 HTTP 传输)存储在本地(通常是硬盘上的特定文件)。example.com 或其子路径(符合 Path 设置)时,浏览器会自动在 HTTP 请求头中加入 Cookie: user_id=12345。Cookie 头,就能知道这个请求来自用户 12345,从而提供个性化的服务或维持登录状态。Cookie 不仅仅是键值对,它还有一些重要的属性控制其行为:
username=JohnDoe。Expires: 指定一个具体的过期时间(GMT 格式)。Max-Age: 指定从设置时刻起多少秒后过期。优先使用 Max-Age。.example.com 表示 example.com 及其所有子域名(如 www.example.com, shop.example.com)都可以接收和发送此 Cookie。不设置则默认为当前文档的域名(不包括子域名)。/shop 表示只有访问 /shop 及其子路径(如 /shop/cart, /shop/checkout)时才会发送该 Cookie。默认为 /,即整个站点。Secure 的 Cookie 只会在使用 HTTPS 协议加密的请求中发送给服务器。防止 Cookie 在非加密的 HTTP 连接中被窃听。HttpOnly 的 Cookie 不能被客户端的 JavaScript 脚本访问(例如 document.cookie)。这是重要的安全措施,有助于缓解跨站脚本攻击(XSS)窃取 Cookie。Strict: 最严格,仅在同站点请求(请求 URL 与当前页面 URL 完全匹配)时发送。Lax: (现代浏览器默认值)允许在顶级导航(例如点击链接)且使用安全方法(GET)的跨站点请求中发送。阻止在跨站 POST 提交或通过 <img>, <iframe> 加载资源时发送。None: 允许在跨站点请求中发送,但必须同时设置 Secure 属性(即只允许在 HTTPS 下发送)。这是旧版行为,安全性最低,仅在特定跨域场景下需要。Java EE 的 Servlet API 提供了 javax.servlet.http.Cookie 类来操作 Cookie。
import javax.servlet.http.Cookie;
// 创建一个名为 "username",值为 "JohnDoe" 的 Cookie
Cookie usernameCookie = new Cookie("username", "JohnDoe");
// 创建一个名为 "sessionId",值为随机 UUID 的 Cookie (常用于会话管理)
Cookie sessionCookie = new Cookie("sessionId", java.util.UUID.randomUUID().toString());
import javax.servlet.http.HttpServletResponse;
// 假设 response 是 HttpServletResponse 对象
response.addCookie(usernameCookie); // 将 cookie 添加到响应头
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.Cookie;
// 假设 request 是 HttpServletRequest 对象
Cookie[] cookies = request.getCookies(); // 获取请求中的所有 Cookie
if (cookies != null) {
for (Cookie cookie : cookies) {
if ("username".equals(cookie.getName())) {
String usernameValue = cookie.getValue(); // 处理 usernameValue...
break;
}
}
}
修改 Cookie 实际上是在服务器端创建一个同名的新 Cookie,设置新的值或属性,然后通过 response.addCookie() 发送给浏览器。浏览器会用新的覆盖旧的。
// 假设我们找到了要修改的 cookie
Cookie existingCookie = ...; // 从 request.getCookies() 中找出
existingCookie.setValue("NewValue"); // 修改值
existingCookie.setMaxAge(60 * 60 * 24 * 7); // 修改有效期为一周
response.addCookie(existingCookie); // 发送更新后的 cookie
删除 Cookie 也是通过创建一个同名的新 Cookie 来实现:
setMaxAge(0) - 立即过期。setPath() 和 setDomain() 与要删除的 Cookie 创建时的设置完全一致。如果不一致,浏览器可能会创建一个同名但路径/域不同的新无效 Cookie,而旧的 Cookie 依然存在。response.addCookie() 发送。Cookie deleteCookie = new Cookie("username", ""); // 值不重要,设为空或任意
deleteCookie.setMaxAge(0); // 告诉浏览器立即删除此 Cookie
deleteCookie.setPath("/"); // 必须与原始 Cookie 设置的路径匹配!这里是 '/'
// deleteCookie.setDomain("yourdomain.com"); // 如果原始设置了 Domain,这里也要设置
response.addCookie(deleteCookie);
setMaxAge)Cookie cookie = new Cookie("rememberMe", "yes");
cookie.setMaxAge(60 * 60 * 24 * 30); // 设置有效期为 30 天 (单位:秒)
response.addCookie(cookie);
setPath)Cookie cookie = new Cookie("cartId", "cart789");
cookie.setPath("/shop"); // 只有访问 /shop 及其子路径时才会发送此 Cookie
response.addCookie(cookie);
setDomain)Cookie cookie = new Cookie("preferences", "dark_theme");
cookie.setDomain(".example.com"); // 注意前面的点 '.',表示 example.com 及其所有子域
response.addCookie(cookie);
setHttpOnly, setSecure)Cookie cookie = new Cookie("authToken", "encryptedTokenValue");
cookie.setHttpOnly(true); // 防止 XSS 攻击窃取
cookie.setSecure(true); // 只在 HTTPS 连接中发送
cookie.setPath("/");
cookie.setMaxAge(60 * 60); // 1 小时有效
response.addCookie(cookie);
Spring Boot 构建在 Servlet API 之上,因此你可以直接使用 HttpServletResponse 和 HttpServletRequest 来操作 Cookie,方法和第 2 节完全一样。此外,Spring 提供了更便捷的方式。
HttpServletResponse (与传统 Servlet 类似)在 Spring MVC 的 Controller 方法中,你可以注入 HttpServletResponse。
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletResponse;
@RestController
public class CookieController {
@GetMapping("/setcookie")
public String setCookie(HttpServletResponse response) {
Cookie cookie = new Cookie("user", "Alice");
cookie.setMaxAge(7 * 24 * 60 * 60); // 7 days
cookie.setPath("/");
cookie.setHttpOnly(true);
response.addCookie(cookie);
return "Cookie has been set!";
}
}
@CookieValue 注解 (便捷获取)Spring MVC 提供了 @CookieValue 注解,可以直接将请求中的 Cookie 值绑定到 Controller 方法的参数上。
import org.springframework.web.bind.annotation.CookieValue;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
public class ReadCookieController {
@GetMapping("/getcookie")
public String readCookie(@CookieValue(name = "user", defaultValue = "Guest") String username) {
return "Hello, " + username + "! (Read from cookie)";
}
}
注意:@CookieValue 要求 Cookie 必须存在(除非设置了 defaultValue)。如果 Cookie 可能不存在且你不希望抛出异常,可以将其绑定为 java.util.Optional:
@GetMapping("/getcookieopt")
public String readCookieOptional(@CookieValue(name = "user") Optional<String> username) {
return "Hello, " + username.orElse("Guest") + "!";
}
ResponseCookie (Spring Boot 提供的更现代的构建器)从 Spring Boot 2.5 (Spring Framework 5.1) 开始,引入了 org.springframework.http.ResponseCookie 类。它提供了流畅的构建器 API 来创建 Cookie,并且生成的字符串可以直接添加到 Response 的 Set-Cookie 头。这种方式更符合 HTTP 头的语义。
import org.springframework.http.ResponseCookie;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
public class ResponseCookieController {
@GetMapping("/setresponsecookie")
public ResponseEntity<String> setResponseCookie() {
// 使用构建器创建 ResponseCookie
ResponseCookie responseCookie = ResponseCookie.from("theme", "dark")
.httpOnly(true) // HttpOnly
.secure(true) // Secure
.path("/") // Path
.maxAge(60 * 60 * 24) // Max-Age (1 天)
.domain("example.com") // Domain
.sameSite("Lax") // SameSite 属性 (Strict, Lax, None)
.build(); // 构建
// 响应,将 Cookie 添加到 Set-Cookie 头
return ResponseEntity.ok()
.header(HttpHeaders.SET_COOKIE, responseCookie.toString()) // 关键!
.body("ResponseCookie has been set!");
}
}
优点:
Set-Cookie 头规范的字符串。SameSite 等属性。Set-Cookie 头(多次调用 .header())。Cookie 经常用于存储会话标识符或认证令牌,因此安全性至关重要。
document.cookie) 窃取敏感的 Cookie(如 Session ID)。setHttpOnly(true) 或使用 ResponseCookie 的 .httpOnly(true)。setSecure(true) 或 .secure(true)。注意: 在本地开发环境 (HTTP) 下设置 Secure 会导致浏览器不存储该 Cookie。SameSite=Lax(现代浏览器默认值)或 SameSite=Strict。SameSite=None 仅在需要跨域携带 Cookie 的场景下使用(如 OAuth 登录回调、跨域 AJAX 请求),并且必须配合 Secure 属性(即仅限 HTTPS)。使用 ResponseCookie 可以方便地设置 .sameSite("Lax")。org.springframework.web.util.WebUtils 的 getCookie 和 addCookie 方法,以及更强大的 org.springframework.session.web.http.CookieSerializer 来处理签名 Cookie(Spring Session 模块常用)。以下是几个使用 Spring Boot 3.x 的完整、可运行的案例。确保你的项目包含 Spring Boot Web Starter 依赖。
import jakarta.servlet.http.Cookie;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
import java.util.Optional;
@RestController
public class VisitCounterController {
@GetMapping("/visit")
public ResponseEntity<String> trackVisit(HttpServletRequest request, HttpServletResponse response) {
// 1. 尝试从请求中获取名为 "visitCount" 的 Cookie
Cookie[] cookies = request.getCookies();
int visitCount = 0;
if (cookies != null) {
for (Cookie cookie : cookies) {
if ("visitCount".equals(cookie.getName())) {
try {
visitCount = Integer.parseInt(cookie.getValue());
} catch (NumberFormatException e) {
visitCount = 0; // 如果值无效,重置
}
break;
}
}
}
// 2. 增加访问次数
visitCount++;
// 3. 创建或更新 Cookie,设置新值
Cookie visitCookie = new Cookie("visitCount", String.valueOf(visitCount));
visitCookie.setMaxAge(365 * 24 * * );
visitCookie.setPath();
visitCookie.setHttpOnly();
response.addCookie(visitCookie);
ResponseEntity.ok( + visitCount + );
}
}
测试: 访问 http://localhost:8080/visit,刷新页面观察计数增加。查看浏览器开发者工具(Application -> Cookies)可以看到 visitCount Cookie。
假设你有一个登录服务,登录成功后生成一个认证 Token。
import jakarta.servlet.http.Cookie;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.http.HttpHeaders;
import org.springframework.http.ResponseCookie;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;
@RestController
public class LoginController {
// 模拟登录逻辑 (实际应用中应使用数据库和密码加密比较)
@PostMapping("/login")
public ResponseEntity<String> login(
@RequestParam String username,
@RequestParam String password,
HttpServletResponse response) {
// 1. 验证用户名密码 (这里简化为固定值)
if ("admin".equals(username) && "secret".equals(password)) {
// 2. 登录成功,生成一个安全的 Token (实际应用中应使用 JWT 或其他安全机制生成)
String authToken = generateSecureToken(); // 伪代码
// 3. 使用 ResponseCookie 构建安全 Cookie (推荐方式)
ResponseCookie authCookie = ResponseCookie.from("authToken", authToken)
.httpOnly(true) // 必须!防御 XSS
.secure(true) // 必须!仅限 HTTPS (本地开发用 HTTP 时注释掉这行,否则 Cookie 不存储)
.path("/") // 应用路径
.maxAge(30 * 60)
.sameSite()
.build();
ResponseEntity.ok()
.header(HttpHeaders.SET_COOKIE, authCookie.toString())
.body( + username + );
} {
ResponseEntity.status().body();
}
}
ResponseEntity<String> {
ResponseCookie.from(, )
.httpOnly()
.secure()
.path()
.maxAge()
.sameSite()
.build();
ResponseEntity.ok()
.header(HttpHeaders.SET_COOKIE, deleteCookie.toString())
.body();
}
String {
+ System.currentTimeMillis();
}
}
测试:
POST http://localhost:8080/login 发送表单数据 (username=admin&password=secret)。检查响应头 Set-Cookie,应包含 authToken 且带有 HttpOnly; Secure; SameSite=Lax 属性(本地开发注释 .secure(true) 后则没有 Secure)。Cookie 中自动带上 authToken。GET http://localhost:8080/logout,响应头 Set-Cookie 会设置一个过期时间为 0 的 authToken Cookie,浏览器收到后会删除它。假设你有主站 www.example.com 和一个商城子站 shop.example.com,你想在主站登录后,用户在访问商城时也能保持登录状态。
import org.springframework.http.HttpHeaders;
import org.springframework.http.ResponseCookie;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
public class SharedCookieController {
@GetMapping("/setsharedcookie")
public ResponseEntity<String> setSharedCookie() {
// 1. 创建一个将在子域间共享的 Cookie (例如 Session ID)
String sharedValue = "SHARED_VALUE_123";
// 2. 关键:设置 domain 为 '.example.com' (注意前面的点 '.')
ResponseCookie sharedCookie = ResponseCookie.from("sharedData", sharedValue)
.httpOnly(true)
.secure(true) // 生产环境启用
.path("/") // 根路径
.maxAge(24 * 60 * 60) // 1 天
.domain(".example.com") // 允许 example.com 和所有子域访问
.sameSite("Lax") // 或 None (如果需要跨顶级域)
.build();
// 3. 添加到响应头
return ResponseEntity.ok()
.header(HttpHeaders.SET_COOKIE, sharedCookie.toString())
.body("Shared cookie has been set for .example.com!");
}
@GetMapping("/readsharedcookie")
public ResponseEntity<String> readSharedCookie String sharedValue) {
(sharedValue != && !sharedValue.isEmpty()) {
ResponseEntity.ok( + sharedValue);
} {
ResponseEntity.ok();
}
}
}
重要说明:
www.example.com 或 shop.example.com 或其他 *.example.com 子域下运行。www.example.com/setsharedcookie 设置 Cookie 后,访问 shop.example.com/readsharedcookie,浏览器会因为设置了 Domain=.example.com 和 Path=/,自动在请求中包含这个 Cookie。hosts 文件 (如 /etc/hosts 或 C:\Windows\System32\drivers\etc\hosts),添加条目如 127.0.0.1 www.localdev.com 和 127.0.0.1 shop.localdev.com。然后启动 Spring Boot 应用,分别访问 http://www.localdev.com:8080/setsharedcookie 和 http://shop.localdev.com:8080/readsharedcookie。注意:非 HTTPS 环境下,Secure 属性会阻止 Cookie 存储和发送。本案例实现基于 Cookie 的用户登录状态管理。用户登录后,服务器设置 Cookie 存储 session ID;后续请求验证 Cookie 以维持登录状态。
import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
@WebServlet("/login")
public class LoginServlet extends HttpServlet {
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String username = request.getParameter("username");
String password = request.getParameter("password");
response.setContentType("text/html");
PrintWriter out = response.getWriter();
// 模拟验证(实际中需数据库查询)
if ("admin".equals(username) && "password123".equals(password)) {
// 创建 session ID Cookie(实际应使用随机 Token)
Cookie sessionCookie = new Cookie("sessionID", "generatedSession123");
sessionCookie.setMaxAge(60 * 60 * 24);
sessionCookie.setPath();
sessionCookie.setHttpOnly();
sessionCookie.setSecure();
response.addCookie(sessionCookie);
out.println();
out.println( + username + );
out.println();
out.println();
} {
out.println();
out.println();
out.println();
}
}
}
{
ServletException, IOException {
response.setContentType();
response.getWriter();
Cookie[] cookies = request.getCookies();
;
(cookies != ) {
(Cookie cookie : cookies) {
(.equals(cookie.getName())) {
sessionID = cookie.getValue();
;
}
}
}
(sessionID != && sessionID.equals()) {
out.println();
out.println();
out.println();
out.println();
} {
response.sendRedirect();
}
}
}
{
ServletException, IOException {
(, );
sessionCookie.setMaxAge();
sessionCookie.setPath();
response.addCookie(sessionCookie);
response.sendRedirect();
}
}
http://localhost:8080/yourApp/login.html。/profile 验证状态;退出使用 /logout。创建 login.html 表单:
<!DOCTYPE html>
<html>
<head>
<title>Login</title>
</head>
<body>
<form action="login" method="post">
Username: <input type="text" name="username"><br>
Password: <input type="password" name="password"><br>
<input type="submit" value="Login">
</form>
</body>
</html>
本案例使用 Cookie 实现简单购物车。用户添加商品时,服务器更新 Cookie 存储商品 ID 列表。
import java.io.IOException;
import java.io.PrintWriter;
import java.util.Arrays;
import java.util.List;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
@WebServlet("/addToCart")
public class AddToCartServlet extends HttpServlet {
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String productId = request.getParameter("id");
response.setContentType("text/html");
PrintWriter out = response.getWriter();
// 获取现有购物车 Cookie
Cookie[] cookies = request.getCookies();
String cartValue = "";
if (cookies != null) {
for (Cookie cookie : cookies) {
if ("shoppingCart".equals(cookie.getName())) {
cartValue = cookie.getValue();
break;
}
}
}
// 更新购物车(假设商品 ID 用逗号分隔)
if (!cartValue.isEmpty()) {
cartValue += + productId;
} {
cartValue = productId;
}
(, cartValue);
cartCookie.setMaxAge( * * * );
cartCookie.setPath();
cartCookie.setHttpOnly();
response.addCookie(cartCookie);
out.println();
out.println( + productId + );
out.println();
out.println();
}
}
{
ServletException, IOException {
response.setContentType();
response.getWriter();
Cookie[] cookies = request.getCookies();
;
(cookies != ) {
(Cookie cookie : cookies) {
(.equals(cookie.getName())) {
cartValue = cookie.getValue();
;
}
}
}
out.println();
out.println();
(!cartValue.isEmpty()) {
List<String> products = Arrays.asList(cartValue.split());
out.println();
(String product : products) {
out.println( + product + );
}
out.println();
} {
out.println();
}
out.println();
}
}
{
ServletException, IOException {
(, );
cartCookie.setMaxAge();
cartCookie.setPath();
response.addCookie(cartCookie);
response.sendRedirect();
}
}
<a href="/yourApp/addToCart?id=1">Add Product 1</a>。/viewCart 查看购物车;/clearCart 清空。本案例实现'记住我'功能:用户登录时选择记住,服务器设置长期 Cookie 存储用户名(加密),下次自动填充。
import java.io.IOException;
import java.io.PrintWriter;
import java.net.URLEncoder;
import java.util.Base64;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
@WebServlet("/rememberMeLogin")
public class RememberMeLoginServlet extends HttpServlet {
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String username = request.getParameter("username");
String password = request.getParameter("password");
String rememberMe = request.getParameter("rememberMe"); // "on" if checked
response.setContentType("text/html");
PrintWriter out = response.getWriter();
// 模拟验证
if ("admin".equals(username) && "password123".equals(password)) {
// 设置会话 Cookie
Cookie sessionCookie (, );
sessionCookie.setMaxAge( * );
sessionCookie.setPath();
sessionCookie.setHttpOnly();
response.addCookie(sessionCookie);
(.equals(rememberMe)) {
Base64.getEncoder().encodeToString(username.getBytes());
(, encodedUsername);
rememberCookie.setMaxAge( * * * );
rememberCookie.setPath();
rememberCookie.setHttpOnly();
rememberCookie.setSecure();
response.addCookie(rememberCookie);
}
out.println();
out.println();
out.println();
} {
out.println();
out.println();
out.println();
}
}
}
{
ServletException, IOException {
response.setContentType();
response.getWriter();
Cookie[] cookies = request.getCookies();
;
(cookies != ) {
(Cookie cookie : cookies) {
(.equals(cookie.getName())) {
encodedUsername = cookie.getValue();
;
}
}
}
(encodedUsername != ) {
(Base64.getDecoder().decode(encodedUsername));
(, );
sessionCookie.setMaxAge( * );
sessionCookie.setPath();
sessionCookie.setHttpOnly();
response.addCookie(sessionCookie);
out.println();
out.println( + username + );
out.println();
} {
response.sendRedirect();
}
}
}
/autoLogin 尝试自动登录。登录表单添加复选框:
<input type="checkbox" name="rememberMe"> Remember me
JSESSIONID 是 Java EE 默认名) 发送给浏览器。浏览器后续请求携带此 ID,服务器通过 ID 查找对应的 Session 数据。因此,Cookie 是实现 Session 持久化的一种常用机制。localStorage 或 sessionStorage 中,并在后续请求的 Authorization 头(如 Bearer <token>)中发送。这种方式更符合 RESTful 无状态设计,避免了 CSRF 问题(因为 Cookie 不是自动发送),但需要防范 XSS 窃取存储的 Token。虽然 RESTful API 通常倾向于无状态并使用 Token 认证,但有时也需要使用 Cookie(例如,在服务端渲染的 Web 应用提供的 API 端点)。
Access-Control-Allow-Origin: <具体前端域名> (不能是 *,需要明确指定)Access-Control-Allow-Credentials: truefetch)需要设置 credentials: 'include'。HttpOnly, Secure, SameSite 等属性,并考虑签名/加密。Cookie 是 Web 开发中管理状态的基础机制。掌握 Java (Servlet API) 和 Spring Boot 中操作 Cookie 的方法至关重要。在实现功能的同时,必须将安全性放在首位:使用 HttpOnly 防御 XSS,使用 Secure 防御嗅探(HTTPS 下),使用 SameSite (通常 Lax) 防御 CSRF。避免在 Cookie 中存储敏感信息,考虑使用服务器端 Session 存储。注意隐私法规要求(GDPR/CCPA),提供 Cookie 同意管理。理解 Cookie 在会话管理中的作用以及与替代方案(Token、LocalStorage)的区别和适用场景。
通过本文的详细解释和可直接运行的 Spring Boot 案例,你应该能够自信地在你的 Java Web 应用中安全有效地使用 Cookie 了。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
查找任何按下的键的javascript键代码、代码、位置和修饰符。 在线工具,Keycode 信息在线工具,online
JavaScript 字符串转义/反转义;Java 风格 \uXXXX(Native2Ascii)编码与解码。 在线工具,Escape 与 Native 编解码在线工具,online
使用 Prettier 在浏览器内格式化 JavaScript 或 HTML 片段。 在线工具,JavaScript / HTML 格式化在线工具,online
Terser 压缩、变量名混淆,或 javascript-obfuscator 高强度混淆(体积会增大)。 在线工具,JavaScript 压缩与混淆在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online