当前位置：首页 > article >正文

cookie详解

article 2026/2/18 4:20:30

一、cookie出现原因

http是无状态的，浏览器无法记录当前是哪个人浏览的，所以出现了cookie

作用：会话状态管理（用户登录状态、购物车、游戏分数）、个性化设置（主题、自定义设置）、浏览器行为跟踪（跟踪分析用户行为）

二、cookie作用过程

服务器可以在 HTTP 请求响应标头中添加一个或多个 Set-Cookie 属性来设置 cookie，它是由键/值对以及可选属性组成的相应字符串：

Set-Cookie: myfirstcookie=somecookievalue

cookie 是服务器可以存储在用户浏览器并保存到本地中的小块数据，浏览器收到响应后通常会保存下 Cookie，并将其放在 HTTP Cookie标头内，向同一服务器发出请求时一起发送（会造成一定性能开销）。

Cookie: myfirstcookie=somecookievalue

三、cookie属性值

1.过期时间max-age和expires

默认情况下，cookie 在用户关闭会话时即关闭浏览器时过期（不过有一些浏览器重启的时候会使用会话恢复延长会话时间）。要持久化cookie，我们可以通过expires或Max-Age属性

Set-Cookie: myfirstcookie=somecookievalue; expires=Tue, 09 Jun 2020 15:46:52 GMT; Max-Age=1209600

expires：在指定时间失效，设置成过去的时间代表立即删除cookie

Max-Age：在多少秒之后失效，如果设置为-1代表立即失效

注意：Max-Age优先于expires。

2.定义cookie发送的位置: path 和domain

Domain 和 Path 标识定义了 Cookie 的作用域：即允许 Cookie 应该发送给哪些 URL。

Domain属性

Domain 指定了哪些主机可以接受 Cookie。如果不指定，该属性默认为同一 host 设置 cookie，不包含子域名。如果指定了 Domain，则一般包含子域名。

例如，如果设置 Domain=mozilla.org，则 Cookie 也包含在子域名中（如 developer.mozilla.org）。

注意：

1.设置domain之后，端口号和协议不一致不会影响cookie

2.设置domain为.mozilla.org和设置为mozilla.org效果是一样的，但是如果不设置，默认为mozilla.org，此时只在当前域下（不包括子域）

3.在子域中可以给父域设置cookie，比如：

可以在a.com和b.a.com中获取到这个cookie

4.不能在当前域的子域或者跨域设置cookie，比如：

Path属性

Path 属性指定了一个 URL 路径，该 URL 路径必须存在于请求的 URL 中，并且子路径也会被匹配

例如，设置 Path=/docs，则以下地址都会匹配：

/docs

/docs/

/docs/Web/

/docs/Web/HTTP

具有给定路径path属性的cookie不能被发送到另一个不相关的路径，即使这两个路径位于同一域中。

注意：在cookie创建过程中省略Path时，浏览器默认为/。

3.cookie的安全保证：secure和HttpOnly

secure属性

标记为 Secure 的 Cookie 只应通过被 HTTPS 协议加密过的请求发送给服务端，它永远不会使用不安全的 HTTP 发送（本地主机除外），可以预防中间人攻击

注意：当我们设置secure属性之后去访问http网站是不会带着这个cookie的

HttpOnly属性

设置了 HttpOnly 属性的 cookie 不能使用 JavaScript 经由 Document.cookie 属性、XMLHttpRequest 和 Request APIs、Cookie Store APIs 进行访问。（通过接口网络数据可以看到，但是不能通过代码拿到），可以有效的防止XSS攻击

注意：只能通过服务器的set-cookie设置，我们自己设置会被浏览器忽略掉

4.跨站请求时不会被发送：SameSite属性

服务器要求某个 Cookie 在跨站请求（顶级域名和二级域名一样认为是同站）时不会被发送，从而可以阻止CSRF攻击。

SameSite 属性有三个可选值

1. None：无论是否跨站都会发送cookie

2. Strict：跨站不会携带cookie

3. Lax：新版本浏览器默认设置为 Lax。与 Strict 类似，但特定条件也可发送跨域请求。

URL 必须发生变化
HTTP 请求方式必须是安全的，例如 GET、HEAD、OPTIONS，它们不改变数据

举个例子，用户从 a.com 跳转到 b.com，URL 发生了变化的同时请求方式为 GET，所以设置了 Lax的 Cookie 会被发送过去，除此之外还有图片加载、iframe 调用等等。

SameSite 和 Domain 的区别

Domain 属性限制了接收 Cookie 的域名，而 SameSite属性限制了发送 Cookie 的域名

举个例子：
Set-Cookie: Foo=bar; Path=/; Secure; Domain=scar.site;
无论是从 scar.site 还是 foo.example.com 发起的请求，只要被发送到了 scar.site 或者它的子域名，那 Cookie 就能发过去。
Set-Cookie: name=scar; Path=/; Secure; Domain=scar.site;SameSite=strict;
如果设置了 SameSite=strict,那么这个请求只能从 scar.site 发起 Cookie 才能带过去。

四、cookie携带注意事项

1.同源策略下会自动携带

如果请求的 URL 域名、路径、协议与 Cookie 设置的 Domain 和 Path 属性匹配，浏览器会自动将符合条件的 Cookie 附加到请求头的 Cookie 字段中

`Domain` 属性

Domain 属性指定 Cookie 可以被访问的域名，默认为当前域名，只能被设置它的域名或其子域名访问。

示例：

如果 Cookie 设置为 Domain=example.com，它可以在 example.com 和 sub.example.com 下访问。

如果 Cookie 设置为 Domain=sub.example.com，它只能在 sub.example.com 下访问。

`Path` 属性

Path 属性指定 Cookie 可以被访问的路径，默认为/，只能被设置它的路径或其子路径访问。

示例：

如果 Cookie 设置为 Path=/api，它可以在 /api 及其子路径（如 /api/v1）下访问。

如果 Cookie 设置为 Path=/，它可以在整个域名下访问。

2. 跨域请求的受限携带

跨域请求中 cookie 的携带受到 CORS（跨域资源共享）的限制。默认情况下，浏览器不会在跨域请求中发送 cookie，需要服务器配置 CORS 头。

为了允许跨域请求携带 cookie，服务器需要返回特定的响应头：

设置 Access-Control-Allow-Origin 为请求的源，而不是通配符 *，因为 * 不允许携带 cookie
设置Access-Control-Allow-Credentials 为 true，这样浏览器才会发送 cookie。
根据需求配置 Access-Control-Allow-Methods、Access-Control-Allow-Headers 等
Cookie 的 SameSite 属性未设置为 Strict 或 Lax。若需跨站携带，需设置为 SameSite=None; Secure（仅限 HTTPS）

3.子域名与父域名的交互

父域名 Cookie 影响子域名：

若父域名（example.com）设置了 Cookie，子域名（api.example.com）的请求不会自动携带该 Cookie，除非显式设置Domain=.example.com
子域名 Cookie 不影响父域名：

子域名（api.example.com）设置的 Cookie（未显式设置Domain）仅在该子域名下有效，父域名（example.com）的请求不会携带它

五、如何判断两个 Cookie 是否是同一个 Cookie

同一个cookie：相同的名称（Name）、域（Domain）、路径（Path）

Cookie 覆盖条件

相同的名称、域和路径：如果新设置的 Cookie 的名称、域和路径与已存在的 Cookie 完全相同，那么新 Cookie 会覆盖旧 Cookie。
服务器设置新的 Cookie：当服务器通过 Set-Cookie 响应头设置一个新 Cookie 时，如果新 Cookie 的名称、域和路径与现有 Cookie 完全匹配，浏览器会用新 Cookie 替换旧 Cookie。

如果想对cookie做进一步了解，可看下面的文章：

Cookie 从入门到进阶：一文彻底弄懂其原理以及应用-阿里云开发者社区

前端必要懂的，完整的 HTTP cookie 指南 - 终身学习者 - SegmentFault 思否

浏览器自动携带cookie注意事项_cookie 什么时候会自动带上-CSDN博客

前端Cookie手把手教程哔哩哔哩bilibili

一、cookie出现原因

二、cookie作用过程

三、cookie属性值

1.过期时间max-age和expires

2.定义cookie发送的位置: path 和domain

Domain属性

Path属性

3.cookie的安全保证：secure和HttpOnly

secure属性

HttpOnly属性

4.跨站请求时不会被发送：SameSite属性

SameSite 属性有三个可选值

SameSite 和 Domain 的区别