cookie從哪來到哪去

作者：J

從哪來

瀏覽器新增cookie的時機：

• 有客戶端來設定：通過javascript的api——document.cookie來操作

  設定

    document.cookie = 'name=value; maxAge=3000; path=/; domain=xx.com; secure'複製程式碼

  cookie的名和值中不能出現分號、逗號、等號和空格，每一個key之間通過分號和空格來分割。

  設定多個cookie

  通過document.cookie的方式來設定cookie每次只能設定一個cookie。如果我們寫多個會有什麼效果呢？

    document.cookie = 'cookie1=value1; cookie2=value2'複製程式碼

  放在console中執行一下，會發現，只有第一個cookie1設定成功，而cookie2被無視了。所以要設定多個cookie，最簡單的方式就是多次呼叫document.cookie。

• 由服務端來設定：http的響應頭中。

  開啟瀏覽器的控制檯，在network下我們可以看到瀏覽器發出的所有請求。這些請求的返回頭中，有些會發現一個Set-Cookie的欄位。
  

  

  
  伺服器通過這個欄位來告訴瀏覽器，它需要設定一個cookie，然後瀏覽器檢查一下要設定的內容是否滿足瀏覽器定下的cookie的“條條框框”，如果滿足那麼一個cookie就誕生了。這裡提到了“條條框框”我們稍後做解答。

  在上圖中，響應頭裡set-cookie欄位可以有多個，每一個對應一個要設定的cookie，且只能對應一個。

到哪去

• 客戶端主動獲取

  和客戶端設定相同，獲取的時候也是通過document.cookie來讀取：

    var cookies = document.cookie複製程式碼

  讀取到的cookie為一串字串，每個cookie之間通過分號來分割。

• 隨著請求傳送

  瀏覽器傳送請求時，在請求的頭中會自動將“符合條件”的cookie帶上。
  既然是請求頭中攜帶的，那麼我們通過ajax傳送請求的時候，能否順便設定一下cookie呢？簡單的實驗一下即可知曉：

    var xhr = new XMLHttpRequest();
    xhr.open('GET', url, true);
    xhr.withCredentials = true;
    xhr.setRequestHeader('Cookie', "key=value");
    xhr.send(null);複製程式碼

  然後我們看看實際上瀏覽器傳送出去的請求：
  

  

  
  我們設定的cookie並沒有生效，並且chrome瀏覽器下我們會看到一行報錯

  Refused to set unsafe header "Cookie"

  所以說，因為瀏覽器的安全限制，我們不能自己隨便設定請求頭中的cookie。

cookies條條框框

一個cookie除了value外，還有domain、path、expires/max-age、httpOnly、secure、sameSite這些屬性。設定cookie的時候，可以對這些相關屬性進行設定，當然也可以不進行設定，這時瀏覽器會自動給這些屬性一個預設值。cookie的條條框框就和這些屬性脫不了干係。

• domain

  domain限制了cookie的使用範圍：只能在domain值的範圍中才能訪問到該cookie.

  同時domain值的設定也有嚴格的要求。

  • 自身

    毫無疑問domain的值可以設定為本身。

  • 向下：所有子域名

    如果我們當前頁面的域名是 sub.test.com, 那麼 domain 可以設定為.sub.test.com。允許所有sub.test.com的子域名訪問，如xx.sub.test.com、xx.xx.sub.test.com。

  • 向上：父級域名,直到Top-Level的下一級

    如果我們當前頁面的域名是sub.test.com, 那麼domain可以設定為test.com。但是不能設定為.com。因為.com屬於Top-Level Domain。

• path

  domain+path 共同限制了可訪問該cookie的URL。如果某個cookie的path='/home'，那麼只有“domain/home”下的所有url可以訪問該cookie。

• expires/max-age

  這兩個值決定了cookie能活多久。如果不進行設定，那麼瀏覽器會預設將cookie的有效期設定為 session，當頁面關閉後cookie便隨之被清理了。如果希望cookie在頁面關閉後，仍然能儲存一段時間，那麼就需要為cookie設定一個過期時間，在過期時間內瀏覽器都會為我們保留該cookie.

  expires 是 http/1.0協議中的選項，在新的http/1.1協議中expires已經由 max-age 選項代替。expires必須是 GMT 格式的時間。

  max-age的單位為秒，cookie失效時刻 = 建立時刻 + max-age

• httpOnly

  如果一個cookie被標記為httpOnly, 那麼前文所提到的通過document.cookie的方式就無法獲取到該cookie。同樣的，我們通過js來設定cookie的，也無法被標記為httpOnly。也就說以下寫法是不會生效的：

  document.cookie="cookie1=value1; HttpOnly"複製程式碼

  這個值只能通過請求的響應頭來設定。預設情況下，cookie不會帶httpOnly選項。

• Secure

  對於被標記為Secure的cookie,只有當請求是HTTPS或者其他安全協議時，該cookie 才能被訪問到。同樣的，也只有在HTTPS或者其他安全協議時，我們也才能通過js設定secure的cookie。

• sameSite

  這個值這是谷歌開發的一種安全機制，用來定義cookie如何跨域傳送，其目的是嘗試阻止CSRF。chrome51版本已經支援。關於各大瀏覽器的支援情況，參考chrome官網。關於這個特性，這裡不多做介紹了，感興趣的可參看preventing-csrf-with-samesite-cookie-attribute和goodbye-csrf-samesite-to-the-rescue

  最後，這些所有的屬性值，一起決定了一件事——這個cookie那個URL可以能用。

參考文獻：
developers.livechatinc.com/blog/settin…
www.sjoerdlangkemper.nl/2016/04/14/…

---

歡迎關注DDFE
GITHUB：github.com/DDFE
微信公眾號：微信搜尋公眾號“DDFE”或掃描下面的二維碼