Cookie笔记

1.Cookie

HTTP Cookie（也叫Web Cookie或浏览器Cookie）是服务器发送到用户浏览器并保存在浏览器的一小块数据，它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。一般，它用于告知服务端两个请求是否来自同一浏览器。Cookie使无状态的HTTP协议记录稳定的状态信息成为了可能。每一个 Cookie 的大小通常不能超过4KB。

Cookie的经常使用场合:

• 会话(session)状态管理：保存登陆、购物车等须要记录的信息。
• 个性化设置：如用户自定义设置、主题等
• 追踪：记录和分析用户行为。

Cookie 包含如下几方面的信息。

• Cookie 的名字
• Cookie 的值（真正的数据写在这里面）
• 到期时间
• 所属域名（默认是当前域名）
• 生效的路径（默认是当前网址）

浏览器的同源政策规定，两个网址只要域名相同和端口相同，就能够共享 Cookie。

Cookie曾一度用于客户端数据的存储，因当时并无其它合适的存储办法而做为惟一的存储手段，但如今随着现代浏览器开始支持各类各样的存储方式，Cookie渐渐被淘汰。因为服务器指定Cookie后，浏览器的每次请求都会携带Cookie数据，会带来额外的性能开销（尤为是在移动环境下）。新的浏览器API已经容许开发者直接将数据存储到本地，如使用 Web storage API （本地存储和会话存储）或 IndexedDB 。

2.建立Cookie

当服务器收到HTTP请求时，服务器能够在响应头里面添加一个Set-Cookie选项。浏览器收到响应后一般会保存下Cookie，以后对该服务器每一次请求中都经过Cookie请求头部将Cookie信息发送给服务器。另外，Cookie的过时时间、域、路径、有效期、适用站点均可以根据须要来指定。

2.1 Set-Cookie响应头部和Cookie请求头部

服务器使用Set-Cookie响应头部向浏览器发送Cookie信息。一个简单的Cookie可能像这样：

Set-Cookie: "xxx=dd"

服务器经过该头部告知浏览器保存属性为xxx值为dd的Cookie信息。

HTTP/1.0 200 OK
Content-type: text/html
Set-Cookie: xxx=dd

对该服务器发起的每一次新请求，浏览器都会将以前保存的Cookie再发送给服务器。

GET /sample_page.html HTTP/1.1
Host: www.example.com
Cookie: xxx=dd

2.2 会话期Cookie

会话期Cookie：浏览器关闭以后它会被自动删除，也就是说它仅在会话期内有效。会话期Cookie不须要指定过时时间（Expires）或者有效期（Max-Age）。

2.3 Cookie有效期

和关闭浏览器便失效的会话期Cookie不一样，Cookie能够指定一个特定的过时时间（Expires）或有效期（Max-Age）。

Set-Cookie: id=1; Expires=Wed, 21 Oct 2005 07:28:00 GMT;

当Cookie的过时时间被设定时，设定的日期和时间只与客户端相关，而不是服务端。

2.4 Cookie的Secure 和HttpOnly

标记为 Secure 的Cookie只应经过被HTTPS协议加密过的请求发送给服务端。

为避免跨域脚本 (XSS) 攻击，经过JavaScript的 Document.cookieAPI没法访问带有 HttpOnly 标记的Cookie，它们只应该发送给服务端。若是 Cookie 不想被客户端 JavaScript 脚本调用，那么就应该为其设置 HttpOnly 标记。

Set-Cookie: id=1; Expires=Wed, 21 Oct 2005 07:28:00 GMT; Secure; HttpOnly

2.5 Cookie的Domain和Path

Domain 标识指定了哪些主机能够接受Cookie。若是不指定，默认为当前文档的主机（不包含子域名）。若是指定了Domain，则通常包含子域名。

Path 标识指定了主机下的哪些路径能够接受Cookie（该URL路径必须存在于请求URL中）。以"/" 做为路径分隔符，子路径也会被匹配。
例如，设置 Path=/xxx，则如下地址都会匹配：

• /xxx
• /xxx/Web/
• /xxx/Web/HTTP

2.6 JavaScript经过Document.cookies访问Cookie

经过Document.cookie属性可建立新的Cookie，也可经过该属性访问非HttpOnly标记的Cookie。