Cookies 详解及其与 Session 的协同工作
一、Cookies 的本质与作用
1. 什么是 Cookies?
Cookies 是由服务器发送到用户浏览器并存储在本地的小型文本文件。核心特性:
- 存储位置:客户端浏览器
- 数据形式:键值对字符串(最大4KB)
- 传输方式:通过HTTP头部自动传递
- 生命周期:可设置过期时间(会话级/持久化)
2. 在浏览器中的作用:
3. 技术实现流程:
二、Cookies 与 Session 的协同机制
1. 经典协作模式:
2. 具体工作流程:
三、在 Django 项目中的实现代码
1. 设置 Session-Cookie(登录视图)
# views.py
def user_login(request):
if request.method == 'POST':
username = request.POST['username']
password = request.POST['password']
user = authenticate(username=username, password=password)
if user:
# 核心Session操作
request.session['user_id'] = user.id
# 显式设置Cookie参数
response = redirect('dashboard')
response.set_cookie(
'user_lang',
'zh-CN',
max_age=30*24*3600, # 30天有效期
httponly=False, # 允许JS访问
secure=True # 仅HTTPS传输
)
return response
2. 读取 Cookie(中间件示例)
# middleware.py
class LanguageMiddleware:
def __init__(self, get_response):
self.get_response = get_response
def __call__(self, request):
# 1. 从Cookie获取语言偏好
lang = request.COOKIES.get('user_lang', 'en')
# 2. 设置线程本地语言
translation.activate(lang)
request.LANGUAGE_CODE = lang
# 3. 处理请求
response = self.get_response(request)
# 4. 回写Cookie(如需更新)
if lang != 'en':
response.set_cookie('user_lang', lang)
return response
3. Session-Cookie 安全配置(settings.py)
# 防止XSS攻击
SESSION_COOKIE_HTTPONLY = True # 禁止JS访问Session Cookie
# 防止中间人攻击
SESSION_COOKIE_SECURE = True # 仅通过HTTPS传输
# 防御CSRF
CSRF_USE_SESSIONS = True # CSRF token存储在Session中
CSRF_COOKIE_HTTPONLY = False # 允许AJAX访问CSRF token
# 同源策略
SESSION_COOKIE_SAMESITE = 'Lax' # 平衡安全与第三方集成
四、Cookie 与 Session 的对比分析
| 特性 | Cookie | Session |
|---|---|---|
| 存储位置 | 客户端浏览器 | 服务器端 |
| 数据类型 | 仅字符串(最大4KB) | 任意Python对象 |
| 安全性 | 较低(用户可见可修改) | 较高(服务器控制) |
| 生命周期 | 可长期保存(设置过期时间) | 通常短期(会话结束或超时) |
| 性能影响 | 每次请求自动携带 | 需要服务器查询存储 |
| 典型应用场景 | 语言偏好、主题设置、跟踪ID | 登录状态、购物车、敏感数据 |
五、实际应用案例:购物车系统
工作流程:
代码实现:
# views.py
def add_to_cart(request, product_id):
# 确保购物车存在
if 'cart' not in request.session:
request.session['cart'] = {
}
# 更新购物车
cart = request.session['cart']
cart[product_id] = cart.get(product_id, 0) + 1
# 标记Session已修改
request.session.modified = True
# 设置跟踪Cookie(非敏感数据)
response = JsonResponse({
'status': 'success'})
response.set_cookie('cart_updated', datetime.now().isoformat())
return response
六、安全最佳实践
-
敏感数据绝不存Cookie:
# 错误示例(密码存Cookie) response.set_cookie('password', user.password) # 正确做法 request.session['user_id'] = user.id -
Cookie签名验证:
# 设置签名Cookie response.set_signed_cookie( 'preferences', 'dark_theme', salt='ui_settings', max_age=3600 ) # 读取验证 request.get_signed_cookie('preferences', salt='ui_settings') -
Session劫持防护:
# 每次登录更换Session ID def login_view(request): # ...验证逻辑... request.session.cycle_key() # 关键防护! -
浏览器指纹绑定:
# 存储用户特征哈希 fingerprint = hashlib.sha256( f"{ request.META['HTTP_USER_AGENT']}{ ip_address}".encode() ).hexdigest() request.session['browser_fp'] = fingerprint # 每次请求验证 if request.session.get('browser_fp') != current_fingerprint: request.session.flush() # 强制重新登录
总结回答
Cookies是浏览器存储的小型文本数据,核心作用是:
- 在客户端保存非敏感状态信息(如语言/主题偏好)
- 作为Session ID的载体实现身份保持
- 跟踪用户行为(需符合隐私法规)
与Session的协同方式:
- Session在服务器端存储核心状态(如用户ID、权限)
- Cookies在浏览器端安全存储Session ID(通常为HttpOnly+Secure)
- 每次请求自动携带Session ID Cookie → 服务器恢复完整Session
这种设计实现了安全与用户体验的平衡:敏感数据受服务器保护,非敏感设置由客户端高效存储,共同构建了有状态的Web体验。
京公网安备 11010502036488号