Volevo sapere dove viene generato un cookie esatto., lato client / lato server. Perché se intercetto la richiesta prima di accedere all'applicazione, verrà visualizzato l'intestazione con cookie. Quindi, è generato sul lato client?
Per favore fammi sapere.Grazie!
Un cookie può essere generato sia sul lato server che sul lato client. Sul lato client è possibile generare un cookie con Javascript e viene in genere utilizzato per mantenere le impostazioni dell'interfaccia utente (come lingua, combinazione di colori, numero di elementi da visualizzare ...) tra diverse URL o visite ripetute dello stesso server. I cookie per la gestione delle sessioni che sono associati a un utente sono invece creati sul lato server.
Il modo in cui i cookie vengono convalidati (e se del caso) dipende dallo scopo del cookie. Ma i cookie di sessione vengono convalidati sul server in quanto vengono generalmente utilizzati come una sorta di credenziale di autenticazione. La convalida dei cookie di sessione può essere eseguita in diversi modi a seconda della struttura del cookie, ad esempio potrebbe essere una ricerca nel database o potrebbe essere la decrittazione (e il controllo di integrità) del cookie ecc.
Il comportamento della creazione dipende interamente dall'applicazione. Alcuni crittografano e firmano il cookie, rendendo i cookie lato client invalidi e inutili. Gli altri accettano qualsiasi cosa tu abbia impostato e la usano.
Di solito, i cookie vengono generati dal lato server. Viene utilizzato per l'applicazione in esecuzione sul server per differenziare le connessioni, poiché HTTP è un protocollo stateless. Se ti connetti senza inviare alcun cookie, il server ne genererà uno e te lo darà. Il tuo browser utilizzerà successivamente quel cookie. Su questa domanda Spiego i cookie con maggiori dettagli.
Alcune applicazioni consentono la creazione di cookie sul lato client. Quando l'applicazione riceve un cookie sconosciuto, assume semplicemente che il cookie sia valido. Alcune applicazioni PHP, ad esempio, ti consentono di impostare PHPSESSID lato client prima della connessione e creerà una nuova sessione con l'ID specificato.
La convalida dipende interamente anche dall'applicazione. Gli sviluppatori attenti alla sicurezza che sanno di non fidarsi mai ciecamente di tutto ciò che viene dal client crittografano e firmano, altri sviluppatori li accetteranno così come sono. In alcuni casi bizzarri, devi solo creare un cookie isAdmin=1 e accedere al servizio come amministratore.
Leggi altre domande sui tag session-management