深入解析Cookie的构造与安全机制——以京东为例

原创 于 2025-08-16 23:59:21 发布 · 930 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

个人名片
在这里插入图片描述
🎓作者简介:java领域优质创作者
🌐个人主页码农阿豪
📞工作室:新空间代码工作室(提供各种软件服务)
💌个人邮箱:[2435024119@qq.com]
📱个人微信:15279484656
🌐个人导航网站:www.forff.top
💡座右铭:总有人要赢。为什么不能是我呢?

  • 专栏导航:

码农阿豪系列专栏导航
面试专栏:收集了java相关高频面试题,面试实战总结🍻🎉🖥️
Spring5系列专栏:整理了Spring5重要知识点与实战演练,有案例可直接使用🚀🔧💻
Redis专栏:Redis从零到一学习分享,经验总结,案例实战💐📝💡
全栈系列专栏:海纳百川有容乃大,可能你想要的东西里面都有🤸🌱🚀

目录

深入解析Cookie的构造与安全机制——以京东为例

1. 引言

Cookie是Web开发中不可或缺的一部分,用于存储用户会话、身份验证、个性化设置等信息。本文将以京东(JD)的Cookie为例,详细解析其构造、作用及安全机制,并结合Java代码演示如何解析和处理Cookie。

2. Cookie的基本概念

2.1 什么是Cookie?

Cookie是服务器发送到用户浏览器并保存在本地的一小段数据,用于记录用户状态(如登录信息、购物车数据等)。

2.2 Cookie的组成

一个Cookie通常包含:

  • Name (名称)
  • Value (值)
  • Domain (所属域名)
  • Path (生效路径)
  • Expires/Max-Age (过期时间)
  • Secure (仅HTTPS传输)
  • HttpOnly (禁止JavaScript访问)

3. 京东Cookie的详细解析

以下是一个典型的京东Cookie示例:

QRCodeKey=AAEAIKeVmYG22NM6RjhAljyhY9rrCvhcZ1qvQ_9o__4fitoY; 
wlfstk_smdl=4rjyhp851mxwvue6kxantbaptaa0r59w; 
flash=3_pIDSGRueCRbWCyY_kphq4cr1k1ortgRzUcvevE865ItW4ak_X_ZLxUyfxLUVLrbVUHwu3nXLw38fy99gjh4DSAnhnI65DrzzWacaqfQ0kwQIxsgEOi46LGwwX28aErDpGptwduqoULKBSjSKCrir0m8kBaNvkKfa3PSxde0VbEQ04jDny3K*; 
pin=%E6%B9%AB%E6%B5%A9%E5%8F%91%E9%85%92%E6%B0%B4; 
unick=lb853bo4reo1gt; 
__jda=27045664.17551867538952021426786.1755186754.1755186754.1755186754.1; 
__jdc=27045664; 
__jdv=27045664|direct|-|none|-|1755186753895; 
3AB9D23F7A4B3C9B=TQ5Y7ALYQED3EWBAGCSIHA3VD3JJTAEULWQBKI2THGJVLI6FBALYXIGOTPFNMS6SEDLJDUSF56ZQE5PYYCZT6JFRAU; 
__jdb=27045664.12.17551867538952021426786|1.1755186754; 
thor=994FF5722EE22178CB87CCACF0795C280CF23CDBEEB7E9AF49F6072813D614C847ED2C2DC4B3C69C5A613C2B0831B6DA7AFB6C48AF594A3562B21D2EE2553E0B56929C6BD2866B5EE35566FB19B50D96B34DCDD5F54A42AEBEF42DB796D263713B883AC15EBE6F10894AC1FA6E718A58C2F0367A4856C266270A6D86AA66BFCF; 
light_key=AASBKE7rOxgWQziEhC_QY6yags0vuDX35FTVkzT13qBPE4-iGZF7NdUXHTs8UK5ZBD4_xhuY

3.1 认证相关Cookie

(1) thor
  • 用途 :可能是加密的会话Token,用于身份验证。
  • 特点 :长度极长(512字符),可能是AES或RSA加密的JWT(JSON Web Token)。
  • Java解析示例 (假设是JWT):
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;

public class JwtParser {
    public static void main(String[] args) {
        String thorToken = "994FF5722EE22178CB87CCACF0795C280CF23CDBEEB7E9AF49F6072813D614C847ED2C2DC4B3C69C5A613C2B0831B6DA7AFB6C48AF594A3562B21D2EE2553E0B56929C6BD2866B5EE35566FB19B50D96B34DCDD5F54A42AEBEF42DB796D263713B883AC15EBE6F10894AC1FA6E718A58C2F0367A4856C266270A6D86AA66BFCF";
        try {
            Claims claims = Jwts.parser()
                .setSigningKey("JD_SECRET_KEY".getBytes()) // 需要服务器密钥
                .parseClaimsJws(thorToken)
                .getBody();
            System.out.println("User ID: " + claims.getSubject());
        } catch (Exception e) {
            System.out.println("Invalid Token");
        }
    }
}
(2) 3AB9D23F7A4B3C9B
  • 用途 :可能是用户会话ID,用于服务端识别用户。
  • 特点 :键名随机,值较长(Base64编码)。

3.2 用户跟踪与分析Cookie

(1) __jda, __jdb, __jdc, __jdv
  • 用途 :用于用户行为分析(如来源渠道、访问时间等)。
  • 示例解析 :
public class JdTrackerParser {
    public static void main(String[] args) {
        String jda = "27045664.17551867538952021426786.1755186754.1755186754.1755186754.1";
        String[] parts = jda.split("\\.");
        System.out.println("User ID: " + parts[0]);
        System.out.println("First Visit Time: " + parts[1]);
    }
}

3.3 安全防护Cookie

(1) wlfstk_smdl
  • 用途 :反CSRF(跨站请求伪造)Token。
  • 特点 :随机字符串,每次请求变化。
(2) SecureHttpOnly
  • 京东的Cookie可能设置了 HttpOnly(防止XSS攻击)和 Secure(仅HTTPS传输)。

3.4 用户信息Cookie

(1) pin
  • 用途 :存储用户昵称(URL编码)。
  • Java解码示例 :
import java.net.URLDecoder;
import java.nio.charset.StandardCharsets;

public class PinDecoder {
    public static void main(String[] args) {
        String pin = "%E6%B9%AB%E6%B5%A9%E5%8F%91%E9%85%92%E6%B0%B4";
        String decodedPin = URLDecoder.decode(pin, StandardCharsets.UTF_8);
        System.out.println("Decoded Pin: " + decodedPin); // 输出:泓浩发酒水
    }
}

4. Cookie的安全机制

4.1 防止CSRF攻击

  • 使用 wlfstk_smdl 作为Token,服务端验证请求是否携带合法Token。

4.2 防止XSS攻击

  • 设置 HttpOnly,禁止JavaScript读取敏感Cookie。

4.3 防止会话劫持

  • 使用 Secure 确保Cookie仅通过HTTPS传输。
  • 关键Token(如 thor)采用强加密。

5. 如何在Java中操作Cookie

5.1 解析Cookie

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;

public class CookieParser {
    public static void main(String[] args) {
        HttpServletRequest request = ...; // 获取请求对象
        Cookie[] cookies = request.getCookies();
        if (cookies != null) {
            for (Cookie cookie : cookies) {
                System.out.println(cookie.getName() + " = " + cookie.getValue());
            }
        }
    }
}

5.2 设置Cookie

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletResponse;

public class CookieSetter {
    public static void main(String[] args) {
        HttpServletResponse response = ...; // 获取响应对象
        Cookie cookie = new Cookie("test_cookie", "12345");
        cookie.setMaxAge(3600); // 1小时过期
        cookie.setHttpOnly(true);
        cookie.setSecure(true);
        response.addCookie(cookie);
    }
}

6. 结论

  • Cookie在Web开发中至关重要,京东的Cookie设计涵盖了 身份认证 、 用户跟踪 、 安全防护 等多个方面。
  • 开发者应合理设置Cookie的 SecureHttpOnly 等属性,防止安全漏洞。
  • Java提供了完善的API(如 javax.servlet.http.Cookie)来操作Cookie。

通过本文的分析,希望读者能更深入理解Cookie的构造与安全机制,并在实际开发中合理运用。

《Python全栈系列教程》专栏介绍及文章汇总
孤寒者的博客
05-12 71万+
《Python全栈系列教程》专栏介绍及文章汇总
Java面试八股文(素材来自网络)
weixin_50776418的博客
07-14 1万+
不定时更新,素材来自网络,都附注有超链接,侵删 联系邮箱:[email protected]
深入剖析逻辑漏洞:任意密码重置任意账户登录
m0_57836225的博客
02-26 980
任意账户登录漏洞是指由于系统的逻辑错误,使得攻击者能够以任意用户的身份登录系统。逻辑漏洞的危害不容小觑,它可能导致用户信息泄露、账户被盗用等严重后果。为了防范这些漏洞,开发者在设计和开发系统时,应严格验证密码修改和登录的各种凭证,避免在前端进行关键验证,确保 token 等关键信息的随机性和不可预测性,同时定期更新系统默认口令,加强对用户的安全教育,提高用户的安全意识,避免使用简单、易猜测的密码。
【八股】2024春招八股复习笔记3(测试、运维、安全、游戏、客户端)
小哈里的博客
03-27 6014
1、测试开发 2、运维开发 SRE 3、安全开发 4、运营开发/应用开发(全栈) 5、客户端:PC & 移动 & 游戏 我有一个问题,既然测试、运维、安全、运营、客户端都要会开发,同时还要会很多专业领域的知识,但是待遇和职业发展却都远远不如开发。那为什么不直接投业务开发呢(好吧可能是太卷了) 1、测试开发 1、网络 & 系统(含linux) 2、数据库,MySQL,JAVA 3、测试流程:单元测试、集成测试、系统测试 【八股】2024春招八股复习笔记3(测试、运维、安全、游戏、客户端)
百度+京东+美团Java面经合集
Java技术江湖
08-03 7168
http://www.importnew.com/22083.html http://www.importnew.com/22087.html http://ifeve.com/questions/?sort=views 作者:Hjyilu 链接:https://www.nowcoder.com/discuss/89723?type=2&order=3&pos=4&...
【粉丝福利社】PHP从入门到精通(第6版)(软件开发视频大讲堂)(文末送书-完结)
时光隧道
03-18 9万+
PHP(全称为Hypertext Preprocessor)是一种开源的服务器端脚本语言。它被设计用于开发动态的互联网应用程序,如网站和Web应用程序。PHP可以嵌入到HTML中,可以数据库进行交互,并且可以生成动态的网页内容。PHP的语法简单易懂,学习和使用也比较容易。它广泛应用于Web开发领域,并且是最流行的服务器端脚本语言之一。
Web前端面试题(附答案及解析)(2025.7月最新版)
热门推荐
这世上从不缺让人上头的新鲜感,能顾及你情绪的人实属难得。
03-27 30万+
Web前端面试题!面试宝典!总结心得!(附答案及解析)会持续更新哦! (2025.7月最新版)感谢支持,你们的鼓励是我的动力!
Android面试之百题经典Android答案——cookie,session,JNI,AIDL,Binder,ClassLoader,AMS,WMS,PWS,热更新,插件化,Hook,dex
panshi5188的博客
07-18 2169
一、Activity生命周期 实际面试中可能会以实形式出现,比如:启动A,再从A启动B,请描述各生命周期 二、Activity的启动模式 Activity的启动模式有4种,分别是Standard、SingleTop、SingleTask、SingleInstance Standard模式:这种模式下,Activity可以有多个实,每次启动Activity,无论任务栈中是否已经有这个...
java体系学习总结记录——超长篇
qq30211478的博客
12-26 3982
Java体系学习 一、主流语言介绍 1、c语言:底层编程,比如嵌入式、病毒开发等应用,可以替代汇编语言来开发系统程序;高层应用可以开发从操作系统到各种应用软件。是一种面向过程的语言。 2、java:广泛应用于企业级软件开发、安卓移动应用开发、大数据云计算等领域。 3、Python:在人工智能方面有很大优势,广泛用于图形处理、科学计算、web编程、引擎开发、多媒体应用。被称为胶水语言,能够调...
BAT 前端开发面经 —— 吐血总结
akufr2065的博客
04-20 1864
更好阅读,请移步这里 聊之前 最近暑期实习招聘已经开始,个人目前参加了阿里的内推及腾讯和百度的实习生招聘,在此总结一下 一是备忘、总结提升,二是希望给大家一些参考 其他面试及基础相关可以参考其他博文: Questions of FE Web basis summary FE knowledge fragment 每位面试官的面试时间基本都在 40-80 分钟,下面先简要介绍各个面试流...
阿里Java面经大全(整合版)
Java技术江湖
08-03 5万+
      阿里巴巴,三面,java实习 昨天晚上11点打电话来,问我可以面试不,我说不可以,然后就约到了今天, 1.上来问我项目用的框架,然后问我springmvc里面有的参数的设定,问的是细节,然后问我如果传的多个值是一个对象的属性,问我如何处理,我说直接在后端接收为对象就行了,然后突然问我http怎么传对象,这里有点不明白面试官想问啥,然后就换别的问题了, ...
【前端安全动画】:学习如何在jQuery左侧菜单中同时防范XSS并添加平滑动画效果
本文首先探讨了XSS攻击的机制及其防范措施,包括内容安全策略(CSP)、输入验证和安全库的使用。随后,文章分析了实现平滑动画效果的多种技术,重点介绍了CSS动画JavaScript动画的比较、jQuery动画技巧以及高级...
JavaEE云服务知识概括
weixin_41005188的博客
01-17 3661
JavaEE云服务知识概括对象存储服务OSS三种存储类型比较-文件、块、对象存储 对象存储服务OSS 背景: 随着云产品的深入人心,开发者对于云产品的应用,也越来越广泛。这里讲解一下,OSS对象存储对于企业应用的价值。 无论是基于C/S架构(部分资源在本地),还是B/S架构(全部资源在服务器)的应用,都要面临一个文件存储的问题。 对于文件存储,我们最常见的有两种解决方案: 直接存储到应用服务器的本地中。 处理后直接存入到数据库中。 存储到服务器本地,小的应用程序,是没有什么问题的。书本上一般也都是这
爬虫教程( 6 ) --- 爬虫 进阶、扩展
墨鱼菜鸡
07-11 7282
1. 前言 1. 先看一个最简单的爬虫。 import requests url = "http://www.cricode.com" r = requests.get(url) print(r.text) 2. 一个正常的爬虫程序 上面那个最简单的爬虫,是一个不完整的残疾的爬虫。因为爬虫程序通常需要做的事情如下: 1)给定的种子 URLs,...
【web站点安全开发】任务4:JavaScriptHTML/CSS的完美协作指南
不羁的博客
08-14 908
本文介绍了JavaScript在前端开发中的核心作用及其HTML、CSS的协作方式。主要内容包括:1. JavaScript语言特性,通过对比表格展示其Java在类型系统、面向对象、执行方式等方面的本质区别;2. JavaScript在HTML中的使用方法,包括<script>标签的三种放置位置(head/body/外部文件);3. 四种常用输出方式(alert/write/innerHTML/console.log);4. 语法特性比较(变量声明、数据类型、函数定义等)等
安全防范方案
huluang的专栏
08-15 827
防火墙通过GeoIP数据库封禁国外IP,需配置白名单防误封。
Web攻防-大模型应用&LLM搭建&接入第三方&内容喂养&AI插件&安全WiKI库&技术赋能
最新发布
SuperherRo的博客
08-15 530
知识点: 1、WEB攻防-LLM搭建-AI喂养&安全知识WIKI库
智慧养老丨实用科普+避坑指南:科技如何让晚年生活更安全舒适?
zskj_zhyl的博客
08-13 565
一位中风康复用户使用非接触式睡眠仪后,家属可远程查看夜间离床次数,及时调整护理方案,但需警惕部分产品数据解读复杂。我们这次主要介绍四类典型智慧养老产品,结合真实体验给出选购建议,并揭秘常见消费陷阱,助您理性选择。邯郸社区引入智能洗浴机后,失能老人洗浴频率从每月1次提升至每周2次,家庭矛盾显著减少。用户反馈显示,某品牌智能手表的跌倒检测准确率高,且支持家人远程查看健康数据。但需注意,部分低价产品误报率高,且续航不足,影响使用体验。选择时,建议老人共同体验试用装,倾听其真实感受。
【web站点安全开发】任务2:HTML5核心特性元素详解
不羁的博客
08-12 1015
本文系统梳理了HTML的核心知识点优化技巧,涵盖四大模块:1. HTML元素:详细解析行内、块级、行内块元素的布局特性区别,以及替换/非替换元素的本质差异。2. HTML5新特性:重点介绍语义化标签、多媒体支持、增强表单、Canvas绘图、本地存储等核心功能,强调其开发价值兼容性处理。3. 优化实践:提供图片加载、表单交互、页面性能、可访问性等场景的优化方案,包括懒加载、响应式图片、ARIA属性等实用技巧。4. 高频面试题:精解DOCTYPE、语义化、新特性等常见考点,帮助读者掌握面试应答要点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码农阿豪@新空间

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值