Django通过Cookie实现会话管理、登录状态保持等功能,使用set_cookie()设置、request.COOKIES读取、delete_cookie()删除,需合理配置安全参数以保障用户数据安全。
Cookie 是服务器发送到用户浏览器并保存在本地的一小段数据,浏览器会在后续的请求中自动携带这个 Cookie。在 Django 框架中,Cookie 常用于会话管理、用户登录状态保持、个性化设置等场景。
Cookie 在 Django 中的作用
Django 利用 Cookie 实现多种功能:
- 维护用户登录状态(配合 session 使用)
- 记录用户的偏好设置(如语言、主题)
- 跟踪用户行为(需符合隐私政策)
注意:Cookie 存储在客户端,不适宜保存敏感信息(如密码),建议只存标识符(如 sessionid)。
如何在视图中设置 Cookie
在 Django 视图中,可以通过 HttpResponse 对象的 set_cookie() 方法来设置 Cookie。
from django.http import HttpResponsedef set_user_cookie(request): response = HttpResponse("Cookie 已设置") response.set_cookie('username', 'alice', max_age=3600) # 有效期1小时 return response
set_cookie() 常用参数:
- key:Cookie 名称(如 'username')
- value:Cookie 值
- max_age:有效秒数,None 表示关闭浏览器即失效
- expires:过期时间(datetime 对象或字符串)
- path:允许访问该 Cookie 的路径,默认为 '/'
- secure:是否仅通过 HTTPS 传输
- httponly:是否禁止 JavaScript 访问,增强安全性
- samesite:可设为 'Lax' 或 'Strict',防止 CSRF 攻击
如何读取 Cookie
在视图中,通过 request.COOKIES 字典获取客户端发送的 Cookie。
def get_user_cookie(request):
username = request.COOKIES.get('username', '未知用户')
return HttpResponse(f"你好,{username}")
如何删除 Cookie
使用 delete_cookie() 方法删除 Cookie(实际是设置其过期)。
def logout_view(request):
response = HttpResponse("已登出")
response.delete_cookie('username')
return response
基本上就这些。Django 对 Cookie 的操作简单直接,结合 Session 可实现更安全的状态管理。注意合理设置安全选项,避免信息泄露。
