一、Cookie的出現(xiàn)

瀏覽器和服務(wù)器之間的通信少不了HTTP協(xié)議，但是因?yàn)镠TTP協(xié)議是無(wú)狀態(tài)的，所以服務(wù)器并不知道上一次瀏覽器做了什么樣的操作，這樣嚴(yán)重阻礙了交互式Web應(yīng)用程序的實(shí)現(xiàn)。

針對(duì)上述的問(wèn)題，網(wǎng)景公司的程序員創(chuàng)造了Cookie。

二、Cookie的傳輸

服務(wù)器端在實(shí)現(xiàn)Cookie標(biāo)準(zhǔn)的過(guò)程中，需要對(duì)任意HTTP請(qǐng)求發(fā)送Set-Cookie HTTP頭作為響應(yīng)的一部分：

Set-Cookie: name=value; expires=Tue, 03-Sep-2019 14:10:21 GMT; path=/; domain=.xxx.com;

瀏覽器端會(huì)存儲(chǔ)這樣的Cookie，并且為之后的每個(gè)請(qǐng)求添加Cookie HTTP請(qǐng)求頭發(fā)送回服務(wù)器：

Cookie: name=value

服務(wù)器通過(guò)驗(yàn)證Cookie值，來(lái)判斷瀏覽器發(fā)送請(qǐng)求屬于哪一個(gè)用戶(hù)。

三、瀏覽器中的Cookie

瀏覽器中的Cookie主要由以下幾部分組成：

• 名稱(chēng)：Cookie唯一的名稱(chēng)，必須經(jīng)過(guò)URL編碼處理。（同名會(huì)出現(xiàn)覆蓋的情況）
• 值：必須經(jīng)過(guò)URL編碼處理。
• 域（domain）：默認(rèn)情況下cookie在當(dāng)前域下有效，你也可以設(shè)置該值來(lái)確保對(duì)其子域是否有效。
• 路徑（path）：指定Cookie在哪些路徑下有效，默認(rèn)是當(dāng)前路徑下。
• 失效時(shí)間（expires）：默認(rèn)情況下，瀏覽器會(huì)話(huà)結(jié)束時(shí)會(huì)自動(dòng)刪除Cookie；也可以設(shè)置一個(gè)GMT格式的日期，指定具體的刪除日期；如果設(shè)置的日期為以前的日期，那么Cookie會(huì)立即刪除。
• 安全標(biāo)志（secure）：指定之后只允許Cookie發(fā)送給https協(xié)議。

瀏覽器在發(fā)送請(qǐng)求時(shí)，只會(huì)將名稱(chēng)與值添加到請(qǐng)求頭的Cookie字段中，發(fā)送給服務(wù)端。

瀏覽器提供了一個(gè)非常蹩腳的API來(lái)操作Cookie：

document.cookie

通過(guò)上述方法可以對(duì)該Cookie進(jìn)行寫(xiě)操作，每一次只能寫(xiě)入一條Cookie字符串：

document.cookie = 'a=1; secure; path=/'

通過(guò)該方法還可以進(jìn)行Cookie的讀操作：

document.cookie // "a=1"

由于上述方法操作Cookie非常的不直觀，一般都會(huì)寫(xiě)一些函數(shù)來(lái)簡(jiǎn)化Cookie讀取、設(shè)置和刪除操作。

對(duì)于Cookie的設(shè)置操作中，需要以下幾點(diǎn)：

• 對(duì)于名稱(chēng)和值進(jìn)行URL編碼處理，也就是采用JavaScript中的encodeURIComponent()方法；
• expires要求傳入GMT格式的日期，需要處理為更易書(shū)寫(xiě)的方式，比如：設(shè)置秒數(shù)的方式；
• 注意只有的屬性名的secure；
• 每一段信息需要采用分號(hào)加空格。

function setCookie (key, value, attributes) {if (typeof document === 'undefined') {return}attributes = Object.assign({}, {path: '/'}, attributes)let { domain, path, expires, secure } = attributesif (typeof expires === 'number') {expires = new Date(Date.now() + expires * 1000)}if (expires instanceof Date) {expires = expires.toUTCString()} else {expires = ''}key = encodeURIComponent(key)value = encodeURIComponent(value)let cookieStr = `${key}=${value}`if (domain) {cookieStr += `; domain=${domain}`}if (path) {cookieStr += `; path=${path}`}if (expires) {cookieStr += `; expires=${expires}`}if (secure) {cookieStr += `; secure`}return (document.cookie = cookieStr) }

Cookie的讀操作需要注意的是將名稱(chēng)與值進(jìn)行URL解碼處理，也就是調(diào)用JavaScript中的decodeURIComponent()方法：

function getCookie (name) {if (typeof document === 'undefined') {return}let cookies = []let jar = {}document.cookie && (cookies = document.cookie.split('; '))for (let i = 0, max = cookies.length; i < max; i++) {let [key, value] = cookies[i].split('=')key = decodeURIComponent(key)value = decodeURIComponent(value)jar[key] = valueif (key === name) {break}}return name ? jar[name] : jar }

最后一個(gè)清除的方法就更加簡(jiǎn)單了，只要將失效日期（expires）設(shè)置為過(guò)去的日期即可：

function removeCookie (key) { setCookie(key, '', { expires: -1 }) }

介紹Cookie基本操作的封裝之后，還需要了解瀏覽器為了限制Cookie不會(huì)被惡意使用，規(guī)定了Cookie所占磁盤(pán)空間的大小以及每個(gè)域名下Cookie的個(gè)數(shù)。

為了繞開(kāi)單域名下Cookie個(gè)數(shù)的限制，開(kāi)發(fā)人員還創(chuàng)造了一種稱(chēng)為subcookie的概念，這里就不在贅述了，可以參考【JavaScript高級(jí)程序設(shè)計(jì)第23章 p633】。

四、服務(wù)端的Cookie

相比較瀏覽器端，服務(wù)端執(zhí)行Cookie的寫(xiě)操作時(shí)，是將拼接好的Cookie字符串放入響應(yīng)頭的Set-Cookie字段中；執(zhí)行Cookie的讀操作時(shí)，則是解析HTTP請(qǐng)求頭字段Cookie中的鍵值對(duì)。

與瀏覽器最大的不同，在于服務(wù)端對(duì)于Cookie的安全性操碎了心

signed

當(dāng)設(shè)置signed=true時(shí)，服務(wù)端會(huì)對(duì)該條Cookie字符串生成兩個(gè)Set-Cookie響應(yīng)頭字段：

Set-Cookie: lastTime=2019-03-05T14:31:05.543Z; path=/; httponlySet-Cookie: lastTime.sig=URXREOYTtMnGm0b7qCYFJ2Db400; path=/; httponly

這里通過(guò)再發(fā)送一條以.sig為后綴的名稱(chēng)以及對(duì)值進(jìn)行加密的Cookie，來(lái)驗(yàn)證該條Cookie是否在傳輸?shù)倪^(guò)程中被篡改。

httpOnly

服務(wù)端Set-Cookie字段中新增httpOnly屬性，當(dāng)服務(wù)端在返回的Cookie信息中含有httpOnly字段時(shí)，開(kāi)發(fā)者是不能通過(guò)JavaScript來(lái)操縱該條Cookie字符串的。

這樣做的好處主要在于面對(duì)XSS（Cross-site scripting）攻擊時(shí)，黑客無(wú)法拿到設(shè)置httpOnly字段的Cookie信息。

此時(shí)，你會(huì)發(fā)現(xiàn)localStorage相比較Cookie，在XSS攻擊的防御上就略遜一籌了。
sameSite

在介紹這個(gè)新屬性之前，首先你需要明白：當(dāng)用戶(hù)從http://a.com發(fā)起http://b.com的請(qǐng)求也會(huì)攜帶上Cookie，而從http://a.com攜帶過(guò)來(lái)的Cookie稱(chēng)為第三方Cookie。

雖然第三方Cookie有一些好處，但是給CSRF（Cross-site request forgrey）攻擊的機(jī)會(huì)。

為了從根源上解決CSRF攻擊，sameSite屬性便閃亮登場(chǎng)了，它的取值有以下幾種：

• strict：瀏覽器在任何跨域請(qǐng)求中都不會(huì)攜帶Cookie，這樣可以有效的防御CSRF攻擊，但是對(duì)于有多個(gè)子域名的網(wǎng)站采用主域名存儲(chǔ)用戶(hù)登錄信息的場(chǎng)景，每個(gè)子域名都需要用戶(hù)重新登錄，造成用戶(hù)體驗(yàn)非常的差。
• lax：相比較strict，它允許從三方網(wǎng)站跳轉(zhuǎn)過(guò)來(lái)的時(shí)候使用Cookie。

為了方便大家理解sameSite的實(shí)際效果，可以看這個(gè)例子：

// a.com 服務(wù)端會(huì)在訪(fǎng)問(wèn)頁(yè)面時(shí)返回如下Cookiecookies.set('foo', 'aaaaa')cookies.set('bar', 'bbbbb')cookies.set('name', 'cccccc')// b.com 服務(wù)端會(huì)在訪(fǎng)問(wèn)頁(yè)面時(shí)返回如下Cookiecookies.set('foo', 'a', { sameSite: 'strict' })cookies.set('bar', 'b', { sameSite: 'lax' })cookies.set('baz', 'c')

如何現(xiàn)在用戶(hù)在a.com中點(diǎn)擊鏈接跳轉(zhuǎn)到b.com，它的請(qǐng)求頭是這樣的：

Request Headers Cookie: bar=b; baz=c

五、網(wǎng)站性能優(yōu)化

Cookie在服務(wù)端和瀏覽器的通信中，主要依靠HTTP的響應(yīng)頭和請(qǐng)求頭傳輸?shù)?#xff0c;所以Cookie會(huì)占據(jù)一定的帶寬。

前面提到瀏覽器會(huì)為每一次HTPP請(qǐng)求自動(dòng)攜帶上Cookie信息，但是對(duì)于同站內(nèi)的靜態(tài)資源，服務(wù)器并不需要處理其攜帶的Cookie，這無(wú)形中便浪費(fèi)了帶寬。

在最佳實(shí)踐中，一般都會(huì)將靜態(tài)資源部署到獨(dú)立的域名上，從而可以避免無(wú)效Cookie的影響。

---

作者：descire

鏈接：http://www.imooc.com/article/286535

創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎(jiǎng)勵(lì)來(lái)咯，堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎(jiǎng)

總結(jié)

以上是生活随笔為你收集整理的Cookie中不能有空格_前端小贴士 -- 全面了解Cookie的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。