Есть ли разница между использованием файла cookie и использованием обычного заголовка в случае HTTP-связи?

cr001

17.04.2023, 05:55

У меня есть система, состоящая из специального программного обеспечения и HTTP-сервера. Программное обеспечение отправит несколько запросов с некоторыми заголовками, а HTTP-сервер отправит ответ.

Теперь у меня есть несколько настраиваемых заголовков, связанных с аутентификацией, которые сервер будет отправлять программному обеспечению, программное обеспечение сохранит эти заголовки и отправит их обратно в каждом дополнительном запросе, чтобы обойти процесс аутентификации.

Насколько я понимаю, это должно быть сделано с помощью файлов cookie. Однако при разработке пользовательского программного обеспечения добавление обычных заголовков легко, в то время как добавление файлов cookie сложнее реализовать, а использование обычных заголовков также работает функционально, основываясь на тестировании.

Я хочу знать, есть ли какая-либо причина безопасности и/или другие причины, по которым следует использовать файл cookie вместо обычного пользовательского заголовка HTTP?

197

0 + 0

http

печенье

http-заголовки

shearn89

17.04.2023, 09:56

Файлы cookie также часто устанавливаются путем отправки заголовка с сервера, например, в узле: `res.setHeader('Set-Cookie', 'sessionCookie=value; HttpOnly');`

Ответить

Рейтинг:2

Server

Bob

17.04.2023, 07:43

Это больше вопрос о разработке программного обеспечения, и, вероятно, он привлечет лучшие ответы на StackOverflow, Software Engineering или, возможно, на сайтах безопасности SE.

Но самый простой ответ заключается в том, что заголовок задается клиентом и, как правило, статичен, например, включение определенного токена API в каждый запрос.

Сессии и файлы cookie устанавливаются сервером. Последнее дает серверу больше контроля и, возможно, лучшую безопасность. Сервер может истечь их срок действия, не аннулируя фактические учетные данные, с которыми вы аутентифицируетесь, заставляя вас повторно аутентифицироваться (например, всегда после X часов или некоторого времени простоя) или изменить их значение, чтобы предотвратить захват сеанса или атаки воспроизведения.

0 + 0

shearn89

17.04.2023, 09:56

Чтобы добавить - файлы cookie также могут быть зашифрованы сервером, чтобы клиент не мог легко их изменить!

Ответить

Admin

Этот вопрос на других языках:

EN: Is there any difference between using a cookie and using a normal header in the case of HTTP communication?

TH: มีความแตกต่างระหว่างการใช้คุกกี้และการใช้ส่วนหัวปกติในกรณีของการสื่อสาร HTTP หรือไม่

RO: Există vreo diferență între utilizarea unui cookie și utilizarea unui antet normal în cazul comunicării HTTP?

RU: Есть ли разница между использованием файла cookie и использованием обычного заголовка в случае HTTP-связи?

VI: Có sự khác biệt nào giữa việc sử dụng cookie và sử dụng tiêu đề bình thường trong trường hợp giao tiếp HTTP không?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.