此次咱们聊一下Cookie

会话跟踪技术用来跟踪用户的整个会话，会话就是用户在登陆网站后的一系列动做，经常使用的是Cookie和Session，二者的惟一区别是前者在浏览器记录信息，后者在服务器。今天只是简单的说下Cookie，知道的就算看个热闹，不知道的但愿能帮到你。

以上图片是我抓包得来，从上面的图片能够看出，cookie中的值是key-value格式的，并且是经过一个分号和空格来间隔的。

cookie的流程是：服务器设置cookie---经过response将cookie传到前端保存在浏览器中---前端访问后端接口时在request header中自动添加上cookie---服务端接收到cookie作一些业务操做。

那么cookie是怎么工做的呢？首先cookie对于浏览器来讲只是一个纯文本，浏览器的安装目录下是会有一个专门的文件夹用来保存各个网站的cookie。当从前端发送请求到后端的时候，浏览器会自动的检测下是否有cookie，若是有就会添加到请求的头信息中，以上是浏览器自动帮咱们作的。

存储到cookie中的数据，浏览器会自动的放在http请求中，只有是每次请求都必需要发送给服务器的数据才会放到cookie，好比身份验证信息。若是是没必要要的，必然会增长网络开销。针对这个存储信息大小，cookie仍是作了一些限制的。每一个域名下的cookie 的大小最大为4KB，每一个域名下的cookie数量最多为20个（但不少浏览器厂商在具体实现时支持大于20个）。

cookie的属性包括：过时时间；域名、路径等等，这些能够本身设置，若是不手动设置就会使用cookie的默认设置。

expires

过时时间，expires必须是 GMT 格式的时间（能够经过new Date().toGMTString()或者 new Date().toUTCString() 来得到）。

若是没有设置的话，那么默认的有效期就是session，就是会话cookie，这种会在浏览器关掉的时候就没有了。

domain和path

domain是域名，path是路径，二者组合起来就构成了 URL，domain和path一块儿来限制 cookie 能被哪些 URL 访问。

就是说在访问这个域名或者是该域名的子域名下，目录是在该目录或者是在该目录下的子目录下的时候，浏览器会自动把cookie放到请求头部中。

若是没有设置这两个选项，则会使用默认值。domain的默认值为设置该cookie的网页所在的域名，path默认值为设置该cookie的网页所在的目录。

两点须要注意：domain能够设置为页面自己的域名，或者是该域名的父域名，好比说，www.sougou.com，但是设置为www.sougou.com，也能够设置为sougou.com。

secure

secure选项用来设置cookie只在确保安全的请求中才会发送。当请求是HTTPS或者其余安全协议时，包含 secure 选项的 cookie才能被发送至服务器。

默认状况下，cookie不会带secure选项(即为空)。因此默认状况下，不论是HTTPS协议仍是HTTP协议的请求，cookie 都会被发送至服务端。但要注意一点，secure选项只是限定了在安全状况下才能够传输给服务端，但并不表明你不能看到这个 cookie。

httpOnly

这个选项用来设置cookie是否能经过 js 去访问。默认状况下，cookie不会带httpOnly选项(即为空)，因此默认状况下，客户端是能够经过js代码去访问（包括读取、修改、删除等）这个cookie的。当cookie带httpOnly选项时，客户端则没法经过js代码去访问操做（包括读取、修改、删除等）这个cookie。

在客户端是不能经过js代码去设置一个httpOnly类型的cookie的，这种类型的cookie只能经过服务端来设置。

关于限制客户端去访问cookie的问题，这样作的目的就是为了保证安全。

试想：若是任何 cookie 都能被客户端经过document.cookie获取会发生什么。当咱们的网页遭受了 XSS 攻击，有一段恶意的script脚本插到了网页中。这段script脚本作的事情是：经过document.cookie读取了用户身份验证相关的 cookie，并将这些 cookie 发送到了攻击者的服务器。攻击者垂手可得就拿到了用户身份验证信息，因而就能够利用此用户信息访问目标服务器（由于攻击者有合法的用户身份验证信息，因此会经过你服务器的验证）。

下面的这段是从项目中找到的一段关于设置cookie的代码：

public void addCookie(HttpServletResponse response, String cookieValue) {
       if (this.cookieDomain == null) {
           throw new IllegalArgumentException("cookies domain is not null");
       } else {
           Cookie cookie = new Cookie(this.coookieName, cookieValue);
           cookie.setPath(this.cookiePath);
           if (this.cookieDomain != null) {
               cookie.setDomain(this.cookieDomain);
           }

           if (this.cookieMaxAge != null) {
               cookie.setMaxAge(this.cookieMaxAge);
           }

           if (this.cookieSecure) {
               cookie.setSecure(true);
           }

           if (this.cookieHttpOnly) {
               cookie.setHttpOnly(true);
           }

           response.addCookie(cookie);
       }
   }
复制代码

何时 cookie 会被覆盖：cookie中的name、domain、path 这3个字段数值都相同的时候。

若是显式设置了 domain，则设置成什么，浏览器就存成什么；但若是没有显式设置，则浏览器会自动取 url 的 host 做为 domain 值；

修改 cookie。

要想修改一个cookie，只须要从新赋值就行，旧的值会被新的值覆盖。但要注意一点，在设置新cookie时，path、domain这两个字段必定要和以前保持同样。不然是不会肯定为以前的cookie，而是添加了一个新的cookie。

删除 cookie

删除一个cookie 也是同样的，也是从新赋值，只要将这个新cookie的expires选项设置为一个过去的时间点或者是直接赋值为0就好了。但一样要注意，path和domain一样须要和以前的cookie保持一致。

在开发的过程当中，用户的登陆态是大部分是放到cookie里，由于cookie本身有着完整的一套配置，包括上文讲到的各类属性和安全问题，整体来讲仍是比较方便的。

东西很少，也很简单，但愿每一个读者都能彻底消化。

这样的分享会一直持续，你的关注、转发和好看是对我最大的支持，感谢。

关注公众号，最新文章会第一时间出如今那里哦！