在服务端程序开发的过程中,cookie经常被用于验证用户登录。golang 的 net/http
包中自带 http cookie的定义,下面就来讲一下cookie的一般用法以及需要注意的问题。
先来看下golang对cookie结构体的定义:
常用参数:
Name
: cookie的名称
Value
: cookie名称对应的值
Domain
: cookie的作用域
Expires
: 设置cookie的过期时间
HttpOnly
: 设置httpOnly属性(说明:Cookie的HttpOnly属性,指示浏览器不要在除HTTP(和 HTTPS)请求之外暴露Cookie。一个有HttpOnly属性的Cookie,不能通过非HTTP方式来访问,例如通过调用java script(例如,引用 document.cookie),因此,不可能通过跨域脚本(一种非常普通的攻击技术)来偷走这种Cookie。尤其是Facebook 和 Google 正在广泛地使用HttpOnly属性。)
Secure
: 设置Secure属性(说明:Cookie的Secure属性,意味着保持Cookie通信只限于加密传输,指示浏览器仅仅在通过安全/加密连接才能使用该Cookie。如果一个Web服务器从一个非安全连接里设置了一个带有secure属性的Cookie,当Cookie被发送到客户端时,它仍然能通过中间人攻击来拦截)
MaxAge
: 设置过期时间,对应浏览器cookie的MaxAge属性
了解的cookie的属性,我们可以在服务端对cookie进行设置。