Cookie 是存储在浏览器的小型文本数据(~4KB),随每次 HTTP 请求自动发送到服务器,主要用于服务端识别用户和会话状态管理。
论据/示例
工作原理:
- 服务器通过
Set-Cookie响应头设置 Cookie - 浏览器保存 Cookie
- 后续请求自动携带 Cookie(通过
Cookie请求头)
服务端设置:
Set-Cookie: session=abc123; Path=/; HttpOnly; Secure; SameSite=Lax客户端读取:
document.cookie // 读取所有可访问的 Cookie安全属性:
| 属性 | 作用 |
|---|---|
HttpOnly | 禁止 JavaScript 访问,防止 XSS 窃取 |
Secure | 仅在 HTTPS 连接中发送 |
SameSite | 限制跨站请求发送(Strict/Lax/None) |
Max-Age | 过期时间(秒) |
常见用途:
- 用户登录会话标识
- 购物车数据
- 个性化设置偏好