当前播放: 25 | Session及第三方Cookie的工作原理







00:00 / 00:00

高清

高清

1.0x

2.0x
1.5x
1.25x
1.0x
0.5x



网页全屏



全屏

00:00

付费课程，可试看

课程目录

第一章：HTTP/1.1协议 (38讲)



01 | 课程介绍

免费

02 | 内容综述

免费

03 | 浏览器发起HTTP请求的典型场景

免费

04 | 基于ABNF语义定义的HTTP消息格式

免费

05 | 网络为什么要分层：OSI模型与TCP/IP模型

免费

06 | HTTP解决了什么问题？

07 | 评估Web架构的七大关键属性

08 | 从五种架构风格推导出HTTP的REST架构

09 | 如何用Chrome的Network面板分析HTTP报文

免费

10 | URI的基本格式以及与URL的区别

11 | 为什么要对URI进行编码？

12 | 详解HTTP的请求行

13 | HTTP的正确响应码

14 | HTTP的错误响应码

15 | 如何管理跨代理服务器的长短连接？

16 | HTTP消息在服务器端的路由

17 | 代理服务器转发消息时的相关头部

18 | 请求与响应的上下文

19 | 内容协商与资源表述

20 | HTTP包体的传输方式（1）：定长包体

21 | HTTP包体的传输方式（2）：不定长包体

22 | HTML form表单提交时的协议格式

23 | 断点续传与多线程下载是如何做到的？

24 | Cookie的格式与约束

25 | Session及第三方Cookie的工作原理

26 | 浏览器为什么要有同源策略？

27 | 如何“合法”地跨域访问？

28 | 条件请求的作用

29 | 缓存的工作原理

30 | 缓存新鲜度的四种计算方式

31 | 复杂的Cache-Control头部

32 | 什么样的响应才会被缓存

33 | 多种重定向跳转方式的差异

34 | 如何通过HTTP隧道访问被限制的网络

35 | 网络爬虫的工作原理与应对方式

36 | HTTP协议的基本认证

37 | Wireshark的基本用法

38 | 如何通过DNS协议解析域名？

第二章：WebSocket协议 (10讲)



39 | Wireshark的捕获过滤器

40 | Wireshark的显示过滤器

41 | Websocket解决什么问题

42 | Websocket的约束

43 | WebSocket协议格式

44 | 如何从HTTP升级到WebSocket

45 | 传递消息时的编码格式

46 | 掩码及其所针对的代理污染攻击

47 | 如何保持会话心跳

48 | 如何关闭会话

第三章：HTTP/2协议 (21讲)



49 | HTTP/1.1发展中遇到的问题

50 | HTTP/2特性概述

51 | 如何使用Wireshark解密TLS/SSL报文？

52 | h2c：在TCP上从HTTP/1升级到HTTP/2

53 | h2：在TLS上从HTTP/1升级到HTTP/2

54 | 帧、消息、流的关系

55 | 帧格式：Stream流ID的作用

56 | 帧格式：帧类型及设置帧的子类型

57 | HPACK如何减少HTTP头部的大小？

58 | HPACK中如何使用Huffman树编码？

59 | HPACK中整型数字的编码

60 | HPACK中头部名称与值的编码格式

61 | 服务器端的主动消息推送

62 | Stream的状态变迁

63 | RST_STREAM帧及常见错误码

64 | 我们需要 Stream 优先级

65 | 不同于TCP的流量控制

66 | HTTP/2与gRPC框架

67 | HTTP/2的问题及 HTTP/3的意义

68 | HTTP/3: QUIC协议格式

69 | 七层负载均衡做了些什么？

第四章：TLS/SSL协议 (14讲)



70 | TLS协议的工作原理

71 | 对称加密的工作原理（1）：XOR与填充

72 | 对称加密的工作原理（2）：工作模式

73 | 详解AES对称加密算法

74 | 非对称密码与RSA算法

75 | 基于openssl实战验证RSA

76 | 非对称密码应用：PKI证书体系

77 | 非对称密码应用：DH密钥交换协议

78 | ECC椭圆曲线的特性

79 | DH协议升级：基于椭圆曲线的ECDH协议

80 | TLS1.2与TLS1.3 中的ECDH协议

81 | 握手的优化：session缓存、ticket票据及TLS1.3的0-RTT

82 | TLS与量子通讯的原理

83 | 量子通讯BB84协议的执行流程

第五章：TCP协议 (25讲)



84 | TCP历史及其设计哲学

85 | TCP解决了哪些问题

86 | TCP报文格式

87 | 如何使用tcpdump分析网络报文

88 | 三次握手建立连接

89 | 三次握手过程中的状态变迁

90 | 三次握手中的性能优化与安全问题

91 | 数据传输与MSS分段

92 | 重传与确认

93 | RTO重传定时器的计算

94 | 滑动窗口：发送窗口与接收窗口

95 | 窗口的滑动与流量控制

96 | 操作系统缓冲区与滑动窗口的关系

97 | 如何减少小报文提高网络效率

98 | 拥塞控制（1）：慢启动

99 | 拥塞控制（2）：拥塞避免

100 | 拥塞控制（3）：快速重传与快速恢复

101 | SACK与选择性重传算法

102 | 从丢包到测量驱动的拥塞控制算法

103 | Google BBR拥塞控制算法原理

104 | 关闭连接过程优化

105 | 优化关闭连接时的TIME-WAIT状态

106 | keepalive 、校验和及带外数据

107 | 面向字节流的TCP连接如何多路复用

108 | 四层负载均衡可以做什么

第六章：IP协议 (13讲)



109 | 网络层与链路层的功能

110 | IPv4分类地址

111 | CIDR无分类地址

112 | IP地址与链路地址的转换：ARP与RARP协议

113 | NAT地址转换与LVS负载均衡

114 | IP选路协议

115 | MTU与IP报文分片

116 | IP协议的助手：ICMP协议

117 | 多播与IGMP协议

118 | 支持万物互联的IPv6地址

119 | IPv6报文及分片

120 | 从wireshark报文统计中找规律

121 | 结束语

25 | Session及第三方Cookie的工作原理

陶辉

智链达CTO，前阿里云高级技术专家

121讲 121课时，约1100分钟7393

单独订阅¥129

2人成团¥99







本节摘要

登录后留言

精选留言(10)

吃饭饭

看到这里我突然想起了网上讨论的话题，咨询一下老师：如果浏览器禁用了Cookie，那么Session和Cookie的关联只能通过URL携带Cookie信息吗？感觉现在APP基本都是使用Cookie，如果保证用户在禁用Cookie时还能正常访问网站？

作者回复: 使用Cookie很方便，浏览器会从时间上将不同的请求关联起来。如果不使用Cookie，那么需要所有的请求必须由HTML或者JS等自行负责携带状态信息，例如在URL上，难度不是一般的大

2019-05-31



 2
Frode

是不是给每一个网站发得cookie都是不一样的，都有特定的标识

作者回复: Cookie包括名值对两个字符串，是否完全不一样，要看具体服务器对Cookie的设计目的，以及所用中间件代码是否设计完备了

2019-06-03



 1
Frode

陶老师我们访问cookietest.taohui.tech/app/form.html时，header中携带了访问第一个网站中的cookie信息，那我们收集到的cookie信息后，如何判断用户曾经访问过protocol.taohui.tech/app/3rdcookie.html的网站呢？

作者回复: cookie的value中可以直接或者间接地设置相应的信息

2019-05-31



 1
子杨

这里有一个问题，我看到请求是携带着 Cookie 的，浏览器同时也返回了 Set-Cookie 头部，这个头部不是应该第一次请求 Cookie 的时候返回给客户端吗？还是说每次请求都会返回？

作者回复: 你是说服务器返回了Set-Cookie头部吧？服务器当且仅当希望浏览器保存一对新的key value对Cookie时，才会返回Set-Cookie头部（不是每次，这非常浪费带宽），而浏览器会缓存Cookie，并在请求中携带Cookie。

2019-11-20




EanSong

老师，如果想看一个接口的证书怎么看，还有就是cer证书算是网络协议的那一层？

作者回复: 呃，我猜你是想问，怎么查看一个域名或者站点的证书吧？如果可以浏览器上执行，那么访问后，在浏览器地址栏上可以看到，具体你可以看第76课。
证书属于TLS/SSL体系，它是在OSI的表示层。

2019-11-13




Geek_68d3d2

为什么还会有session前面不是说http目前是无状态的协议吗！？不是要保证每次请求都是独立的吗？？

作者回复: 1、应用状态和数据状态不同，这里的用户登录session其实是用户的数据状态。
2、REST架构力争无状态是希望有好的scalability，HTTP协议的有些细节其实是做不到完全无状态的，所以这导致后端服务只能把session存放到数据中心节点中，虽然应用服务有很好的可伸缩性可随时扩容，但数据中心节点就是单点，减弱了scalability。

2019-11-04




hk

老师你好，问下浏览器保存cookie这个操作的流程是调用了浏览器内置的接口吗？耶就是浏览器引擎本身有这个保存的接口吗？

作者回复: cookie的管理由引擎实现

2019-10-21




小樱桃

老是麻烦问下现在好多的电商网站会自动推荐一些商品，这个功能和第三方cookie有关吗？

作者回复: 如果这个电商是根据它在其他网站上打的广告来做推荐，就可能有关

2019-07-01




大王叫我来巡山

浏览器在请求的时候都是符合同源策略的，但是服务器给客户的cookie是可以任意指定domain的，比如访问A站点的时候，服务端返回了个cookie，但是制定了的domain是B站点的，这样客户端再访问B站点的时候会带上A站点给他的cookie。是不是可以这样理解？

作者回复: 可以这么理解：1、服务器A返回html页面里有很多超链接，其中有些是访问B的，浏览器的渲染引擎会自动访问B。2、服务器B返回cookie，自然是属于B的，但请求其实来源于A的html页面

2019-06-28




一步

第三方 Cookie 结合 Referer 请求头，来确定来源吗？

作者回复: 是，常用方法

2019-05-31



