HTTP Cookie 你了解多少？

Cookie是什么？

先给大家举个例子，F12 打开浏览器的页面之后，我们能在 Response Headers 的字段里面看到一个header 叫做 Set-Cookie，如下所示

图中包含的 Set-Cookie 为

Set-Cookie:uuid_tt_dd=10_20293537580-1709432565344-232525; Expires=Thu, 01 Jan 2025 00:00:00 GMT; Path=/; Domain=.csdn.net

这个例子中，uuid_tt_dd 的值为 10_20293537580-1709432565344-232525，这个cookie 在2025 年 1 月 1 日过期，只能由 .csdn.net 域和其根路径下的页面访问，我们可以在浏览器调试模式下的 Application 中找到uuid_tt_dd被浏览器记录下来的样式。

当发起新的请求时，Cookie 会出现在请求的 Request Headers中。

从这里我们可以看到，Request Headers里面的 Cookie 中记录了 uuid_tt_dd。

基础交互流程如下所示

Cookie 说白了就是一个 http 协议中的 header 字段，这个字段会由被访问的网站放在response-header 中通过 Set-Cookie 返回，当用户浏览该网站时，浏览器存储 Cookie 后，下次访问会将该值带上，那么这个值的信息代表什么含义？这是可以由网站开发者定义的，可以在这个值中存一些如登录状态的信息，这样当请求携带 cookie 时，信息会被读取以帮助网站记住用户的访问信息和偏好设置，使得网站能够为用户提供个性化的浏览体验，并可以用于追踪用户在网站上的行为。

Cookie分类和属性含义

属性

Cookie在HTTP协议中位于HTTP头部。它有多个属性，包括：Expires/Max-Age，Domain，Path，Secure，HttpOnly，SameSite等，这些属性帮助控制Cookie的安全性和使用范围。

Expires/Max-Age: Expires 和 Max-Age 是 Cookie 的两个属性，用于定义 Cookie 的有效期。Expires 指定了 Cookie 的过期日期和时间，浏览器会在这个时间后删除 Cookie。它使用特定的日期格式，如 Expires=Wed, 09 Jun 2021 10:18:14 GMT 。Max-Age 指定了从当前时间开始，Cookie 存在的秒数。例如，Max-Age=3600 表示 Cookie 将在一小时后过期。如果同时指定了 Expires 和 Max-Age ，Max-Age 具有更高的优先级。

Domain: Domain 属性定义了哪些域名可以接收 Cookie。设置 Domain 属性后，不仅当前域名下的页面可以访问这个 Cookie，指定的域以及其子域也能访问。例如，如果一个Cookie 的 Domain 属性被设置为 example.com ，那么 www.example.com 和subdomain.example.com 等都可以访问这个 Cookie。这有助于跨子域共享 Cookie信息，但也需要谨慎使用以避免安全问题。。

Path: Path 属性指定了哪些网站路径下的页面可以访问 Cookie。如果设置了 Path=/blog ，那么只有网址下的 /blog 目录及其子目录中的页面能够访问这个 Cookie。这有助于限制 Cookie 的访问范围，确保只有特定部分的网站可以使用该 Cookie，从而提高网站的安全性和数据的准确性。。

Secure: Secure 属性标记 Cookie 仅通过安全的 HTTPS 连接发送。Secure 属性设置后，Cookie 只会在 HTTPS 请求中被发送。这有助于防止 Cookie 在数据传输过程中被窃听，增强了用户数据的安全性。

HttpOnly: 当 Cookie 设置为 HttpOnly 时，意味着这个 Cookie 只能通过 HTTP 协议被服务器访问，而不能通过客户端脚本（如 JavaScript ）访问，这有助于增强安全性，防止跨站脚本攻击（ XSS ）。这种设置不限制 Cookie 通过 HTTP 或 HTTPS 协议传输，主要目的是提高安全性，确保只有服务器能够读取 Cookie 信息。

SameSite: SameSite 属性用于控制 Cookie 在跨站请求中的发送行为，有助于防止跨站请求伪造攻击（CSRF）。它有三个值：Strict 、Lax 和 None。 Strict 只允许来自相同站点的请求发送 Cookie；Lax 允许某些第三方请求发送 Cookie，例如从其他网站导航到链接的情况；None 允许所有跨站请求发送Cookie，但必须与 Secure 属性一起使用，确保Cookie仅通过安全连接发送。不设置SameSite属性和将SameSite设置为None在效果上不完全相同，未明确设置 SameSite 属性时，浏览器可能会使用默认行为，这在不同的浏览器和版本中可能有所不同。而明确将 SameSite 设置为 None 则指示浏览器在所有跨站请求中发送 Cookie，但这必须与 Secure 属性一起使用，以确保Cookie仅通过 HTTPS传输。因此，明确设置提供了更明确的控制和跨浏览器的一致性。

一个包含多种属性的Cookie例子可能是这样的：

Set-Cookie: UID=Jack; Expires=Wed, 09 Jun 2023 10:18:14 GMT; Domain=example.com; Path=/; Secure; HttpOnly; SameSite=Strict

这个例子中，UID 是设置给用户 Jack 的Cookie，它在2023年6月9日过期，只能由example.com域和其根路径下的页面访问。此Cookie仅通过HTTP传输，不允许JavaScript访问，且设置了SameSite为Strict，限制跨站点的发送。

类型

Cookie可以分为多种类型，包括基于生命周期的会话Cookie和持久Cookie；基于来源的第一方Cookie和第三方Cookie；以及基于功能的安全Cookie、HttpOnly Cookie、偏好Cookie、认证Cookie和跟踪/广告Cookie。还有其他特殊类型，如僵尸Cookie、Flash Cookie（本地共享对象）、超级Cookie和SameSite Cookie，它们在安全性、用户跟踪和广告方面各有用途。这些分类帮助网站在为用户提供个性化体验的同时，确保交互的安全性和遵守隐私法规。

第一方 Cookie（First-party cookies）：第一方Cookie是由用户直接访问的网站创建并设置的，它们通常用于记住用户信息和偏好，如登录状态、语言选择、主题偏好等，以便在用户再次访问网站时提供更个性化的体验第一方Cookie仅为当前访问的网站所用，不会被其他网站访问或共享。

第三方Cookie（Third-party cookies）：三方Cookie（Third-party cookies）是由非当前用户正在访问的网站域设置的Cookie。它们主要用于跨站跟踪，允许第三方收集用户在不同网站上的浏览信息，从而用于广告定位、分析和个性化服务等目的。三方Cookie通常通过第三方广告或者网页元素（如图像、广告横幅、或者社交媒体插件等）嵌入到网页中来设置和访问。

举例来说，如果你访问一个网站，这个网站包含了一个第三方广告公司的广告，那么这个广告公司可能会在你的设备上设置一个Cookie，即使这个广告公司的网站你并没有直接访问过。随后，当你访问其他包含同一广告公司广告的网站时，该公司可以读取其之前在你设备上设置的Cookie，从而跟踪你的网上行为，分析你的兴趣和偏好，以便提供更加个性化的广告。

会话Cookie（Session cookies）：会话Cookie是临时的Cookie，用于记住用户在浏览器会话期间的活动。当用户关闭浏览器窗口时，这些Cookie会被自动删除。它们对于保持用户登录状态、购物车中的商品等在短期内的信息至关重要。会话Cookie不需要指定过期时间（Expires）或最大年龄（Max-Age）属性。当创建Cookie时，省略这些属性，浏览器就会把它当作会话Cookie处理，这意味着用户关闭浏览器窗口后，Cookie会被自动删除。

持久Cookie（Persistent cookies）：持久Cookie在用户的设备上存储更长时间，直到它们到达设定的过期日期或被用户手动删除。这类Cookie用于记住用户的登录信息、偏好设置和在多次访问之间跟踪用户的活动。