九、处理Cookie
程序员文章站
2024-02-26 19:35:58
9.1 cookie概述 cookie是服务器发送给浏览器的体积很小的纯文本信息,用户以后访问同一个web服务器时浏览器会把它们原样发送给服务器。通过让服务器读取它原...
9.1 cookie概述
cookie是服务器发送给浏览器的体积很小的纯文本信息,用户以后访问同一个web服务器时浏览器会把它们原样发送给服务器。通过让服务器读取它原先保存到客户端的信息,网站能够为浏览者提供一系列的方便,例如在线交易过程中标识用户身份、安全要求不高的场合避免用户重复输入名字和密码、门户网站的主页定制、有针对性地投放广告,等等。
cookie的目的就是为用户带来方便,为网站带来增值。虽然有着许多误传,事实上cookie并不会造成严重的安全威胁。cookie永远不会以任何方式执行,因此也不会带来病毒或攻击你的系统。另外,由于浏览器一般只允许存放300个cookie,每个站点最多存放20个cookie,每个cookie的大小限制为4 kb,因此cookie不会塞满你的硬盘,更不会被用作“拒绝服务”攻击手段。
9.2 servlet的cookie api
要把cookie发送到客户端,servlet先要调用new cookie(name,value)用合适的名字和值创建一个或多个cookie(2.1节),通过cookie.setxxx设置各种属性(2.2节),通过response.addcookie(cookie)把cookie加入应答头(2.3节)。
要从客户端读入cookie,servlet应该调用request.getcookies(),getcookies()方法返回一个cookie对象的数组。在大多数情况下,你只需要用循环访问该数组的各个元素寻找指定名字的cookie,然后对该cookie调用getvalue方法取得与指定名字关联的值,这部分内容将在2.4节讨论。
9.2.1 创建cookie
调用cookie对象的构造函数可以创建cookie。cookie对象的构造函数有两个字符串参数:cookie名字和cookie值。名字和值都不能包含空白字符以及下列字符:
[ ] ( ) = , " / ? @ : ;
9.2.2 读取和设置cookie属性
把cookie加入待发送的应答头之前,你可以查看或设置cookie的各种属性。下面摘要介绍这些方法:
getcomment/setcomment
获取/设置cookie的注释。
getdomain/setdomain
获取/设置cookie适用的域。一般地,cookie只返回给与发送它的服务器名字完全相同的服务器。使用这里的方法可以指示浏览器把cookie返回给同一域内的其他服务器。注意域必须以点开始(例如.sitename.com),非国家类的域(如.com,.edu,.gov)必须包含两个点,国家类的域(如.com.cn,.edu.uk)必须包含三个点。
getmaxage/setmaxage
获取/设置cookie过期之前的时间,以秒计。如果不设置该值,则cookie只在当前会话内有效,即在用户关闭浏览器之前有效,而且这些cookie不会保存到磁盘上。参见下面有关longlivedcookie的说明。
getname/setname
获取/设置cookie的名字。本质上,名字和值是我们始终关心的两个部分。由于httpservletrequest的getcookies方法返回的是一个cookie对象的数组,因此通常要用循环来访问这个数组查找特定名字,然后用getvalue检查它的值。
getpath/setpath
获取/设置cookie适用的路径。如果不指定路径,cookie将返回给当前页面所在目录及其子目录下的所有页面。这里的方法可以用来设定一些更一般的条件。例如,somecookie.setpath("/"),此时服务器上的所有页面都可以接收到该cookie。
getsecure/setsecure
获取/设置一个boolean值,该值表示是否cookie只能通过加密的连接(即ssl)发送。
getvalue/setvalue
获取/设置cookie的值。如前所述,名字和值实际上是我们始终关心的两个方面。不过也有一些例外情况,比如把名字作为逻辑标记(也就是说,如果名字存在,则表示true)。
getversion/setversion
获取/设置cookie所遵从的协议版本。默认版本0(遵从原先的netscape规范);版本1遵从rfc 2109 , 但尚未得到广泛的支持。
9.2.3 在应答头中设置cookie
cookie可以通过httpservletresponse的addcookie方法加入到set-cookie应答头。下面是一个例子:
cookie usercookie = new cookie("user", "uid1234");
response.addcookie(usercookie);
9.2.4 读取保存到客户端的cookie
要把cookie发送到客户端,先要创建cookie,然后用addcookie发送一个set-cookie http应答头。这些内容已经在上面的2.1节介绍。从客户端读取cookie时调用的是httpservletrequest的getcookies方法。该方法返回一个与http请求头中的内容对应的cookie对象数组。得到这个数组之后,一般是用循环访问其中的各个元素,调用getname检查各个cookie的名字,直至找到目标cookie。然后对这个目标cookie调用getvalue,根据获得的结果进行其他处理。
上述处理过程经常会遇到,为方便计下面我们提供一个getcookievalue方法。只要给出cookie对象数组、cookie名字和默认值,getcookievalue方法就会返回匹配指定名字的cookie值,如果找不到指定cookie,则返回默认值。
9.3 几个cookie工具函数
下面是几个工具函数。这些函数虽然简单,但是,在和cookie打交道的时候很有用。
9.3.1 获取指定名字的cookie值
该函数是servletutilities.java的一部分。getcookievalue通过循环依次访问cookie对象数组的各个元素,寻找是否有指定名字的cookie,如找到,则返回该cookie的值;否则,返回参数中给出的默认值。getcookievalue能够在一定程度上简化cookie值的提取。
public static string getcookievalue(cookie[] cookies,
string cookiename,
string defaultvalue) {
for(int i=0; i<cookies.length; i++) {
cookie cookie = cookies[i];
if (cookiename.equals(cookie.getname()))
return(cookie.getvalue());
}
return(defaultvalue);
}
9.3.2自动保存的cookie
下面是longlivedcookie类的代码。如果你希望cookie能够在浏览器退出的时候自动保存下来,则可以用这个longlivedcookie类来取代标准的cookie类。
package hall;
import javax.servlet.http.*;
public class longlivedcookie extends cookie {
public static final int seconds_per_year = 60*60*24*365;
public longlivedcookie(string name, string value) {
super(name, value);
setmaxage(seconds_per_year);
}
}
9.4.实例:定制的搜索引擎界面
下面也是一个搜索引擎界面的例子,通过修改前面http状态代码的例子得到。在这个servlet中,用户界面是动态生成而不是由静态html文件提供的。servlet除了负责读取表单数据并把它们发送给搜索引擎之外,还要把包含表单数据的cookie发送给客户端。以后客户再次访问同一表单时,这些cookie的值将用来预先填充表单,使表单自动显示最近使用过的数据。
searchenginesfrontend.java
该servlet构造一个主要由表单构成的用户界面。第一次显示的时候,它和前面用静态html页面提供的界面差不多。然而,用户选择的值将被保存到cookie(本页面将数据发送到customizedsearchengines servlet,由后者设置cookie)。用户以后再访问同一页面时,即使浏览器是退出之后再启动,表单中也会自动填好上一次搜索所填写的内容。
注意该servlet用到了servletutilities.java,其中getcookievalue前面已经介绍过,headwithtitle用于生成html页面的一部分。另外,这里也用到了前面已经说明的longlivecookie类,我们用它来创建作废期限很长的cookie。
package hall;
import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;
import java.net.*;
public class searchenginesfrontend extends httpservlet {
public void doget(httpservletrequest request,
httpservletresponse response)
throws servletexception, ioexception {
cookie[] cookies = request.getcookies();
string searchstring =
servletutilities.getcookievalue(cookies,
"searchstring",
"java programming");
string numresults =
servletutilities.getcookievalue(cookies,
"numresults",
"10");
string searchengine =
servletutilities.getcookievalue(cookies,
"searchengine",
"google");
response.setcontenttype("text/html");
printwriter out = response.getwriter();
string title = "searching the web";
out.println(servletutilities.headwithtitle(title) +
"<body bgcolor=\"#fdf5e6\">\n" +
"<h1 align=\"center\">searching the web</h1>\n" +
"\n" +
"<form action=\"/servlet/hall.customizedsearchengines\">\n" +
"<center>\n" +
"search string:\n" +
"<input type=\"text\" name=\"searchstring\"\n" +
" value=\"" + searchstring + "\"><br>\n" +
"results to show per page:\n" +
"<input type=\"text\" name=\"numresults\"\n" +
" value=" + numresults + " size=3><br>\n" +
"<input type=\"radio\" name=\"searchengine\"\n" +
" value=\"google\"" +
checked("google", searchengine) + ">\n" +
"google |\n" +
"<input type=\"radio\" name=\"searchengine\"\n" +
" value=\"infoseek\"" +
checked("infoseek", searchengine) + ">\n" +
"infoseek |\n" +
"<input type=\"radio\" name=\"searchengine\"\n" +
" value=\"lycos\"" +
checked("lycos", searchengine) + ">\n" +
"lycos |\n" +
"<input type=\"radio\" name=\"searchengine\"\n" +
" value=\"hotbot\"" +
checked("hotbot", searchengine) + ">\n" +
"hotbot\n" +
"<br>\n" +
"<input type=\"submit\" value=\"search\">\n" +
"</center>\n" +
"</form>\n" +
"\n" +
"</body>\n" +
"</html>\n");
}
private string checked(string name1, string name2) {
if (name1.equals(name2))
return(" checked");
else
return("");
}
}
customizedsearchengines.java
前面的searchenginesfrontend servlet把数据发送到customizedsearchengines servlet。本例在许多方面与前面介绍http状态代码时的例子相似,区别在于,本例除了要构造一个针对搜索引擎的url并向用户发送一个重定向应答之外,还要发送保存用户数据的cookies。
package hall;
import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;
import java.net.*;
public class customizedsearchengines extends httpservlet {
public void doget(httpservletrequest request,
httpservletresponse response)
throws servletexception, ioexception {
string searchstring = request.getparameter("searchstring");
cookie searchstringcookie =
new longlivedcookie("searchstring", searchstring);
response.addcookie(searchstringcookie);
searchstring = urlencoder.encode(searchstring);
string numresults = request.getparameter("numresults");
cookie numresultscookie =
new longlivedcookie("numresults", numresults);
response.addcookie(numresultscookie);
string searchengine = request.getparameter("searchengine");
cookie searchenginecookie =
new longlivedcookie("searchengine", searchengine);
response.addcookie(searchenginecookie);
searchspec[] commonspecs = searchspec.getcommonspecs();
for(int i=0; i<commonspecs.length; i++) {
searchspec searchspec = commonspecs[i];
if (searchspec.getname().equals(searchengine)) {
string url =
searchspec.makeurl(searchstring, numresults);
response.sendredirect(url);
return;
}
}
response.senderror(response.sc_not_found,
"no recognized search engine specified.");
}
public void dopost(httpservletrequest request,
httpservletresponse response)
throws servletexception, ioexception {
doget(request, response);
}
}
cookie是服务器发送给浏览器的体积很小的纯文本信息,用户以后访问同一个web服务器时浏览器会把它们原样发送给服务器。通过让服务器读取它原先保存到客户端的信息,网站能够为浏览者提供一系列的方便,例如在线交易过程中标识用户身份、安全要求不高的场合避免用户重复输入名字和密码、门户网站的主页定制、有针对性地投放广告,等等。
cookie的目的就是为用户带来方便,为网站带来增值。虽然有着许多误传,事实上cookie并不会造成严重的安全威胁。cookie永远不会以任何方式执行,因此也不会带来病毒或攻击你的系统。另外,由于浏览器一般只允许存放300个cookie,每个站点最多存放20个cookie,每个cookie的大小限制为4 kb,因此cookie不会塞满你的硬盘,更不会被用作“拒绝服务”攻击手段。
9.2 servlet的cookie api
要把cookie发送到客户端,servlet先要调用new cookie(name,value)用合适的名字和值创建一个或多个cookie(2.1节),通过cookie.setxxx设置各种属性(2.2节),通过response.addcookie(cookie)把cookie加入应答头(2.3节)。
要从客户端读入cookie,servlet应该调用request.getcookies(),getcookies()方法返回一个cookie对象的数组。在大多数情况下,你只需要用循环访问该数组的各个元素寻找指定名字的cookie,然后对该cookie调用getvalue方法取得与指定名字关联的值,这部分内容将在2.4节讨论。
9.2.1 创建cookie
调用cookie对象的构造函数可以创建cookie。cookie对象的构造函数有两个字符串参数:cookie名字和cookie值。名字和值都不能包含空白字符以及下列字符:
[ ] ( ) = , " / ? @ : ;
9.2.2 读取和设置cookie属性
把cookie加入待发送的应答头之前,你可以查看或设置cookie的各种属性。下面摘要介绍这些方法:
getcomment/setcomment
获取/设置cookie的注释。
getdomain/setdomain
获取/设置cookie适用的域。一般地,cookie只返回给与发送它的服务器名字完全相同的服务器。使用这里的方法可以指示浏览器把cookie返回给同一域内的其他服务器。注意域必须以点开始(例如.sitename.com),非国家类的域(如.com,.edu,.gov)必须包含两个点,国家类的域(如.com.cn,.edu.uk)必须包含三个点。
getmaxage/setmaxage
获取/设置cookie过期之前的时间,以秒计。如果不设置该值,则cookie只在当前会话内有效,即在用户关闭浏览器之前有效,而且这些cookie不会保存到磁盘上。参见下面有关longlivedcookie的说明。
getname/setname
获取/设置cookie的名字。本质上,名字和值是我们始终关心的两个部分。由于httpservletrequest的getcookies方法返回的是一个cookie对象的数组,因此通常要用循环来访问这个数组查找特定名字,然后用getvalue检查它的值。
getpath/setpath
获取/设置cookie适用的路径。如果不指定路径,cookie将返回给当前页面所在目录及其子目录下的所有页面。这里的方法可以用来设定一些更一般的条件。例如,somecookie.setpath("/"),此时服务器上的所有页面都可以接收到该cookie。
getsecure/setsecure
获取/设置一个boolean值,该值表示是否cookie只能通过加密的连接(即ssl)发送。
getvalue/setvalue
获取/设置cookie的值。如前所述,名字和值实际上是我们始终关心的两个方面。不过也有一些例外情况,比如把名字作为逻辑标记(也就是说,如果名字存在,则表示true)。
getversion/setversion
获取/设置cookie所遵从的协议版本。默认版本0(遵从原先的netscape规范);版本1遵从rfc 2109 , 但尚未得到广泛的支持。
9.2.3 在应答头中设置cookie
cookie可以通过httpservletresponse的addcookie方法加入到set-cookie应答头。下面是一个例子:
cookie usercookie = new cookie("user", "uid1234");
response.addcookie(usercookie);
9.2.4 读取保存到客户端的cookie
要把cookie发送到客户端,先要创建cookie,然后用addcookie发送一个set-cookie http应答头。这些内容已经在上面的2.1节介绍。从客户端读取cookie时调用的是httpservletrequest的getcookies方法。该方法返回一个与http请求头中的内容对应的cookie对象数组。得到这个数组之后,一般是用循环访问其中的各个元素,调用getname检查各个cookie的名字,直至找到目标cookie。然后对这个目标cookie调用getvalue,根据获得的结果进行其他处理。
上述处理过程经常会遇到,为方便计下面我们提供一个getcookievalue方法。只要给出cookie对象数组、cookie名字和默认值,getcookievalue方法就会返回匹配指定名字的cookie值,如果找不到指定cookie,则返回默认值。
9.3 几个cookie工具函数
下面是几个工具函数。这些函数虽然简单,但是,在和cookie打交道的时候很有用。
9.3.1 获取指定名字的cookie值
该函数是servletutilities.java的一部分。getcookievalue通过循环依次访问cookie对象数组的各个元素,寻找是否有指定名字的cookie,如找到,则返回该cookie的值;否则,返回参数中给出的默认值。getcookievalue能够在一定程度上简化cookie值的提取。
public static string getcookievalue(cookie[] cookies,
string cookiename,
string defaultvalue) {
for(int i=0; i<cookies.length; i++) {
cookie cookie = cookies[i];
if (cookiename.equals(cookie.getname()))
return(cookie.getvalue());
}
return(defaultvalue);
}
9.3.2自动保存的cookie
下面是longlivedcookie类的代码。如果你希望cookie能够在浏览器退出的时候自动保存下来,则可以用这个longlivedcookie类来取代标准的cookie类。
package hall;
import javax.servlet.http.*;
public class longlivedcookie extends cookie {
public static final int seconds_per_year = 60*60*24*365;
public longlivedcookie(string name, string value) {
super(name, value);
setmaxage(seconds_per_year);
}
}
9.4.实例:定制的搜索引擎界面
下面也是一个搜索引擎界面的例子,通过修改前面http状态代码的例子得到。在这个servlet中,用户界面是动态生成而不是由静态html文件提供的。servlet除了负责读取表单数据并把它们发送给搜索引擎之外,还要把包含表单数据的cookie发送给客户端。以后客户再次访问同一表单时,这些cookie的值将用来预先填充表单,使表单自动显示最近使用过的数据。
searchenginesfrontend.java
该servlet构造一个主要由表单构成的用户界面。第一次显示的时候,它和前面用静态html页面提供的界面差不多。然而,用户选择的值将被保存到cookie(本页面将数据发送到customizedsearchengines servlet,由后者设置cookie)。用户以后再访问同一页面时,即使浏览器是退出之后再启动,表单中也会自动填好上一次搜索所填写的内容。
注意该servlet用到了servletutilities.java,其中getcookievalue前面已经介绍过,headwithtitle用于生成html页面的一部分。另外,这里也用到了前面已经说明的longlivecookie类,我们用它来创建作废期限很长的cookie。
package hall;
import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;
import java.net.*;
public class searchenginesfrontend extends httpservlet {
public void doget(httpservletrequest request,
httpservletresponse response)
throws servletexception, ioexception {
cookie[] cookies = request.getcookies();
string searchstring =
servletutilities.getcookievalue(cookies,
"searchstring",
"java programming");
string numresults =
servletutilities.getcookievalue(cookies,
"numresults",
"10");
string searchengine =
servletutilities.getcookievalue(cookies,
"searchengine",
"google");
response.setcontenttype("text/html");
printwriter out = response.getwriter();
string title = "searching the web";
out.println(servletutilities.headwithtitle(title) +
"<body bgcolor=\"#fdf5e6\">\n" +
"<h1 align=\"center\">searching the web</h1>\n" +
"\n" +
"<form action=\"/servlet/hall.customizedsearchengines\">\n" +
"<center>\n" +
"search string:\n" +
"<input type=\"text\" name=\"searchstring\"\n" +
" value=\"" + searchstring + "\"><br>\n" +
"results to show per page:\n" +
"<input type=\"text\" name=\"numresults\"\n" +
" value=" + numresults + " size=3><br>\n" +
"<input type=\"radio\" name=\"searchengine\"\n" +
" value=\"google\"" +
checked("google", searchengine) + ">\n" +
"google |\n" +
"<input type=\"radio\" name=\"searchengine\"\n" +
" value=\"infoseek\"" +
checked("infoseek", searchengine) + ">\n" +
"infoseek |\n" +
"<input type=\"radio\" name=\"searchengine\"\n" +
" value=\"lycos\"" +
checked("lycos", searchengine) + ">\n" +
"lycos |\n" +
"<input type=\"radio\" name=\"searchengine\"\n" +
" value=\"hotbot\"" +
checked("hotbot", searchengine) + ">\n" +
"hotbot\n" +
"<br>\n" +
"<input type=\"submit\" value=\"search\">\n" +
"</center>\n" +
"</form>\n" +
"\n" +
"</body>\n" +
"</html>\n");
}
private string checked(string name1, string name2) {
if (name1.equals(name2))
return(" checked");
else
return("");
}
}
customizedsearchengines.java
前面的searchenginesfrontend servlet把数据发送到customizedsearchengines servlet。本例在许多方面与前面介绍http状态代码时的例子相似,区别在于,本例除了要构造一个针对搜索引擎的url并向用户发送一个重定向应答之外,还要发送保存用户数据的cookies。
package hall;
import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;
import java.net.*;
public class customizedsearchengines extends httpservlet {
public void doget(httpservletrequest request,
httpservletresponse response)
throws servletexception, ioexception {
string searchstring = request.getparameter("searchstring");
cookie searchstringcookie =
new longlivedcookie("searchstring", searchstring);
response.addcookie(searchstringcookie);
searchstring = urlencoder.encode(searchstring);
string numresults = request.getparameter("numresults");
cookie numresultscookie =
new longlivedcookie("numresults", numresults);
response.addcookie(numresultscookie);
string searchengine = request.getparameter("searchengine");
cookie searchenginecookie =
new longlivedcookie("searchengine", searchengine);
response.addcookie(searchenginecookie);
searchspec[] commonspecs = searchspec.getcommonspecs();
for(int i=0; i<commonspecs.length; i++) {
searchspec searchspec = commonspecs[i];
if (searchspec.getname().equals(searchengine)) {
string url =
searchspec.makeurl(searchstring, numresults);
response.sendredirect(url);
return;
}
}
response.senderror(response.sc_not_found,
"no recognized search engine specified.");
}
public void dopost(httpservletrequest request,
httpservletresponse response)
throws servletexception, ioexception {
doget(request, response);
}
}