对于 Cookie 的处理上,我最近遇到一个问题,那就是如何分割 Cookie 的内容。有人说是使用逗号分割,有人说是使用分号分割,究竟用哪个才是对的?其实这个答案是需要分为两个过程,分别是请求和响应,来进行回答。请求过程的 Cookie 和响应返回的 Cookie 的格式是不相同的

请求 Request 的 Cookie 是放在 Cookie 头里面的,可以使用逗号或分号进行分割多个不同的 Cookie 内容。 但是大部分情况下都是采用分号加空格 ; 的方式进行分割,而不是逗号分割,且在 Cookie 的 Key 和 Value 里面,是不允许出现分号和逗号字符,如果真需要,那就需要进行转码

根据 rfc2965 可以知道,在 Cookie 里面,服务器端接收的请求是需要处理两个方式分割的内容: 使用分号 ; 分割和使用逗号 , 分割的情况。也就是说采用分号和逗号都是合理的,只是大家遵不遵守这个规范就是另一回事了

Note: For backward compatibility, the separator in the Cookie header is semi-colon (;) everywhere. A server SHOULD also accept comma (,) as the separator between cookie-values for future compatibility.

为什么会同时支持分号和逗号作为分隔符?这是一个历史原因,再加上,对于请求来说,大部分的请求头,重复加入的时候,是采用逗号进行分割的,而分号分割的是相同的一条信息的多个属性内容。为了能更好的兼容,标准 rfc2965 就规定了 A server SHOULD also accept comma (,) as the separator 服务端应该兼容使用逗号分割的情况。标准里面说的是服务端是 应该 而不是必须,也就是说会存在一些服务端是不支持逗号分割的。我测试了 ASP.NET Core 3.1 和 6.0 的行为,是能支持使用逗号或分号分割的 Cookie 内容

以下是一条通过 Fiddler 工具抓包的请求信息的内容

POST https://test.lindexi.com/api/v1/coursewareShare/link HTTP/1.1
Host: test.lindexi.com
Cookie: x-auth-token=9e712b07dc404fe7b384e7f3dce7bbba; x-auth-app=Demo; x-auth-brand=; client_version=5.2.2.123; client_build_version=95228; client_flags=tabs
X-APM-TraceId: e6d841e5790d43e1a13e6b597281e06b

可以看到以上的请求里多条不同的 Cookie 使用 ; 分号加空格分割,这是比较常用的方法。对于以上的请求的 Cookie 内容,是不能通过 CookieContainer.SetCookies 去解析,原因在于 SetCookies 是设计用来处理响应的 Cookie 而不是用来处理请求的 Cookie 内容,使用 SetCookies 方法只能分割 , 逗号作为分隔符的 Cookie 情况

以上是对于请求的情况,请求是从客户端到服务器端的过程。接下来聊聊从服务器端到客户端的过程:

响应 Response 的 Cookie 是放在 Set-Cookie 头里面,多条 Cookie 一般对应多条 Set-Cookie 头。可以采用 CookieContainer.SetCookies 方法解析,值得一提的是 SetCookies 方法能处理使用 , 逗号分割的多个不同的 Cookie 内容,但是不能处理使用 ; 分号分割的情况。不能处理 ; 分号分割的情况是因为在响应里面,将使用 ; 分号分割 Cookie 的信息,包括分割 Cookie 内容和 Cookie 对应域名和 Cookie 过期时间

如 mozilla 的文档描述:

Set-Cookie: <cookie-name>=<cookie-value>
Set-Cookie: <cookie-name>=<cookie-value>; Expires=<date>
Set-Cookie: <cookie-name>=<cookie-value>; Max-Age=<number>
Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>
Set-Cookie: <cookie-name>=<cookie-value>; Path=<path-value>
Set-Cookie: <cookie-name>=<cookie-value>; Secure
Set-Cookie: <cookie-name>=<cookie-value>; HttpOnly

Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Strict
Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Lax
Set-Cookie: <cookie-name>=<cookie-value>; SameSite=None; Secure

// Multiple attributes are also possible, for example:
Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>; Secure; HttpOnly

以下是一条通过 Fiddler 工具抓包的响应信息的内容

HTTP/1.1 200 OK
Content-Type: application/json; charset=utf-8
Date: Wed, 24 Aug 2022 01:49:18 GMT
Server: Kestrel
Set-Cookie: Response1=Value; path=/
Set-Cookie: Response2=Value; path=/

可以看到以上的信息是通过多条响应头信息返回的,可以使用如下代码进行解析

    /// <summary>
    /// 获取 <see cref="CookieCollection"/> 设置
    /// </summary>
    /// <param name="httpResponseMessage"></param>
    /// <returns></returns>
    public static CookieCollection GetCookie(this HttpResponseMessage httpResponseMessage)
    {
        Uri requestUri = httpResponseMessage.RequestMessage.RequestUri;
        var cookieContainer = new CookieContainer();
        if (httpResponseMessage.Headers.TryGetValues(HttpKnownHeaderNames.SetCookie, out var cookieValueList))
        {
            foreach (var value in cookieValueList)
            {
                // 这里的 SetCookies 仅设计用来支持响应的 Cookie 解析,而不是请求的 Cookie 解析
                cookieContainer.SetCookies(requestUri, value);
            }
        }

        return cookieContainer.GetCookies(requestUri);
    }

为什么会是如此奇怪的设计呢?这是历史原因,我找到一篇讲的很好的答案,请看 cookie中的转义字符的方法是叫什么规范? - 知乎

参考:


本文会经常更新,请阅读原文: https://blog.lindexi.com/post/%E5%85%B3%E4%BA%8E%E5%A4%9A%E4%B8%AA-Cookie-%E7%9A%84%E5%88%86%E9%9A%94%E7%AC%A6%E8%BF%99%E4%BB%B6%E4%BA%8B.html ,以避免陈旧错误知识的误导,同时有更好的阅读体验。

如果你想持续阅读我的最新博客,请点击 RSS 订阅,推荐使用RSS Stalker订阅博客,或者收藏我的博客导航

知识共享许可协议 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。欢迎转载、使用、重新发布,但务必保留文章署名林德熙(包含链接: https://blog.lindexi.com ),不得用于商业目的,基于本文修改后的作品务必以相同的许可发布。如有任何疑问,请 与我联系

微软最具价值专家


无盈利,不卖课,做纯粹的技术博客

以下是广告时间

推荐关注 Edi.Wang 的公众号

欢迎进入 Eleven 老师组建的 .NET 社区

以上广告全是友情推广,无盈利