Cookie的查看
Cookie的设置
读写Cookie
- 从 document.cookie 中读取
- 写入 document.cookie
Set-Cookie
Cookie选项 / Cookie属性
Cookie 函数
- getCookie(name)
- setCookie(name, value, options)
第三方 cookie
Cookie 的作用

一、Cookie 是直接存储在浏览器中的一小串数据（一般不超过4kb）。它们是 HTTP 协议的一部分，由RFC 6265规范定义。
二、Cookie 通常是由 Web 服务器使用响应Set-Cookie HTTP-header 设置的。然后浏览器使用Cookie HTTP-header 将它们自动添加到（几乎）每个对相同域的请求中。
三、最常见的用处之一就是身份验证：
1、登录后，服务器在响应中使用Set-Cookie HTTP-header 来设置具有唯一“会话标识符（session identifier）”的 cookie。
2、下次如果请求是由相同域发起的，浏览器会使用Cookie HTTP-header 通过网络发送 cookie。
3、所以服务器知道是谁发起了请求。
四、我们还可以使用document.cookie属性从浏览器访问 cookie。

Cookie的查看

一、我们可以在浏览器的开发者工具中看到当前页面的Cookie

二、Cookie文件不只是存放在浏览器。Cookies相关的内容还可以存在本地文件里。

【示例】Mac下的Chrome，存放目录是~/Library/Application Support/Google/Chrome/Default，里面会有一个名为Cookies的数据库文件，可以用sqlite软件打开 1、存放在本地的好处就是即使关闭了浏览器，Cookie仍然可以生效。

Cookie的设置

一、 Cookie 是怎么设置的呢？简单来说就是

客户端发送 HTTP 请求到服务器
当服务器收到 HTTP 请求时，在响应头里面添加一个 Set-Cookie 字段
浏览器收到响应后保存下 Cookie
之后对该服务器每一次请求中都通过 Cookie 字段将 Cookie 信息发送给服务器。 | 【示例】以https://main.m.taobao.com/为例看一下这个过程
1、在请求返回的Response Headers可以看到Set-Cookie字段
2、查看下Cookie

3、刷新页面，再看一下这个请求，可以在Request Headers看到cookie字段
| | —- |

读写Cookie

从 document.cookie 中读取

一、查看浏览器是否存储了本网站的任何 cookie

// 在 javascript.info，我们使用谷歌分析来进行统计，
// 所以应该存在一些 cookie
alert( document.cookie ); // cookie1=value1; cookie2=value2;...

二、document.cookie的值由name=value对组成，以;分隔。每一个都是独立的 cookie。
1、为了找到一个特定的 cookie，我们可以以;作为分隔，将document.cookie分开，然后找到对应的名字。我们（1）可以使用正则表达式或者数组函数来实现。
三、document.cookie提供了对 cookie 的访问
1、写入操作只会修改其中提到的 cookie。
2、name/value 必须被编码。
3、一个 cookie 最大为 4KB，每个网站最多有 20+ 个左右的 cookie（具体取决于浏览器）。

写入 document.cookie

一、我们可以写入document.cookie。但这不是一个数据属性，它是一个访问器（getter/setter）。对其的赋值操作会被特殊处理。
二、对document.cookie的写入操作只会更新其中提到的 cookie，而不会涉及其他 cookie。

| 【示例】此调用设置了一个名称为user且值为John的 cookie：```javascript document.cookie = “user=John”; // 只会更新名称为 user 的 cookie alert(document.cookie); // 展示所有 cookie

1、如果你运行了上面这段代码，你会看到多个 cookie。这是因为document.cookie=操作不是重写整所有 cookie。它只设置代码中提到的 cookie user。 |
| --- |
三、从技术上讲，cookie 的名称和值可以是任何字符，为了保持有效的格式，它们应该使用内建的encodeURIComponent函数对其进行转义：
| 【示例】```javascript
// 特殊字符（空格），需要编码
let name = "my name";
let value = "John Smith"
// 将 cookie 编码为 my%20name=John%20Smith
document.cookie = encodeURIComponent(name) + '=' + encodeURIComponent(value);
alert(document.cookie); // ...; my%20name=John%20Smith

| | —- |

四、存在一些限制：
1、encodeURIComponent编码后的name=value对，大小不能超过 4KB。因此，我们不能在一个 cookie 中保存大的东西。
2、每个域的 cookie 总数不得超过 20+ 左右，具体限制取决于浏览器。
五、选项被列在key=value之后，以;分隔，像这样：

document.cookie = "user=John; path=/; expires=Tue, 19 Jan 2038 03:14:07 GMT"

Set-Cookie

一、Set-Cookie是属于响应头中的一个字段，它包含以下的值

NAME=VALUE: Cookie的名称和值。
domain=域名: 作为Cookie适用对象的域名，如果没有设置，默认是创建Cookie的服务器的域名。
path=PATH: 把服务器上的文件目录作为Cookie的使用对象，如果没有设置，默认是文档所在的文件目录。
expires=DATE: Cookie的有效期。
Secure: 只有在 HTTPS 时才会发送Cookie。
HttpOnly: JavaScript 不能访问Cookie。主要是为了防止跨站脚本攻击时Cookie的信息窃取。

二、这些值组成了浏览器中的Cookie选项/ Cookie属性

Cookie选项 / Cookie属性

【示例】

Name = Value

一、用 JavaScript 操作 Cookie 的时候注意对 Value 进行编码处理。

Domain

一、Domain 指定了 Cookie 可以送达的主机名。

domain=site.com

1、假如没有指定，那么默认值为当前文档访问地址中的主机部分（但是不包含子域名）。

【示例】淘宝首页设置的 Domain 就是 .taobao.com，这样无论是 a.taobao.com 还是 b.taobao.com 都可以使用 Cookie。

二、不能跨域设置 Cookie

| 【示例】阿里域名下的页面把 Domain 设置成百度是无效的：```javascript Set-Cookie: qwerty=219ffwef9w0f; Domain=baidu.com; Path=/; Expires=Wed, 30 Aug 2020 00:00:00 GMT

 |
| --- |

三、默认情况下，cookie 只有在设置的域下才能被访问到。<br />1、如果 cookie 设置在site.com下，我们在other.com下就无法获取它。<br />（1）我们在子域forum.site.com下也无法获取它

| 【示例】```javascript
// 在 site.com
document.cookie = "user=John"

// 在 forum.site.com
alert(document.cookie); // 没有 user

（2）无法使 cookie 可以被从另一个二级域访问，因此，other.com将永远不会收到设置在site.com的 cookie。 | | —- |

2、这是一项安全限制，为了允许我们可以将敏感信息保存在 cookie 中。
四、domain选项允许设置一个可以在子域访问的 cookie。
1、如果我们想要批准像forum.site.com这样的子域访问 cookie，这是可以做到的。当我们设置一个在site.com的 cookie 时，我们应该将domain选项显式地设置为根域：domain=site.com：

| 【示例】```javascript // 在 site.com // 使 cookie 可以被在任何子域 *.site.com 访问： document.cookie = “user=John; domain=site.com”

// 之后

// 在 forum.site.com alert(document.cookie); // 有 cookie user=John

 |
| --- |

（1） 出于历史原因，domain=.site.com（site.com前面有一个点符号）也以相同的方式工作，允许从子域访问 cookie。这是一个旧的表示法，如果我们需要支持非常旧的浏览器，则应该使用它。
<a name="6eOUa"></a>
## Path
一、Path 指定了一个 URL 路径。
```javascript
path=/mypath

1、必须是绝对路径。默认为当前路径。
2、这个路径必须出现在要请求的资源的路径中才可以发送 Cookie 首部。

【示例】设置Path=/docs，/docs/Web/下的资源会带 Cookie 首部，/test则不会携带 Cookie 首部。

3、该url 路径下的页面可以访问该 cookie。
二、通常，我们应该将path设置为根目录：path=/，以使 cookie 对此网站的所有页面可见。
三、Domain 和 Path 标识共同定义了 Cookie 的作用域：即 Cookie 应该发送给哪些 URL。

过期时间：Expires，Max-Age，

一、默认情况下，如果一个 cookie 没有设置这两个参数中的任何一个，那么在关闭浏览器之后，它就会消失。此类 cookie 被称为 “session cookie”。
二、为了让 cookie 在浏览器关闭后仍然存在，我们可以设置expires或max-age选项中的一个。

Expires

一、Expires 用于设置 Cookie 的过期时间。比如：

Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT;

二、当 Expires 属性缺省时，表示是会话性 Cookie，像上图 Expires 的值为 Session，表示的就是会话性 Cookie。
1、当为会话性 Cookie 的时候，值保存在客户端内存中，并在用户关闭浏览器时失效。需要注意的是，有些浏览器提供了会话恢复功能，这种情况下即使关闭了浏览器，会话期 Cookie 也会被保留下来，就好像浏览器从来没有关闭一样。
2、与会话性 Cookie 相对的是持久性 Cookie，持久性 Cookies 会保存在用户的硬盘中，直至过期或者清除 Cookie。这里值得注意的是，设定的日期和时间只与客户端相关，而不是服务端。
三、cookie 的到期日期，那时浏览器会自动删除它。
四、日期必须完全采用 GMT 时区的这种格式。我们可以使用date.toUTCString来获取它。

| 【示例】将 cookie 设置为 1 天后过期。```javascript // 当前时间 +1 天 let date = new Date(Date.now() + 86400e3); date = date.toUTCString(); document.cookie = “user=John; expires=” + date;

 |
| --- |

五、如果我们将expires设置为过去的时间，则 cookie 会被删除。
<a name="aNKDI"></a>
### Max-Age
一、Max-Age 用于设置在 Cookie 失效之前需要经过的秒数。比如：
```javascript
Set-Cookie: id=a3fWa; Max-Age=604800;

二、Max-Age 可以为正数、负数、甚至是 0。
1、如果 max-Age 属性为正数时，浏览器会将其持久化，即写到对应的 Cookie 文件中。
2、当 max-Age 属性为负数，则表示该 Cookie 只是一个会话性 Cookie。
3、当 max-Age 为 0 时，则会立即删除这个 Cookie。

// cookie 会在一小时后失效
document.cookie = "user=John; max-age=3600";

// 删除 cookie（让它立即过期）
document.cookie = "user=John; max-age=0";

三、假如 Expires 和 Max-Age 都存在，Max-Age 优先级更高。

Secure

一、

secure

二、标记为 Secure 的 Cookie 只能被通过 HTTPS 传输。
1、使用 HTTPS 安全协议，可以保护 Cookie 在浏览器和 Web 服务器间的传输过程中不被窃取和篡改。
三、默认情况下，如果我们在http://site.com上设置了 cookie，那么该 cookie 也会出现在https://site.com上，反之亦然。
1、也就是说，cookie 是基于域的，它们不区分协议。
四、使用此选项，如果一个 cookie 是通过https://site.com设置的，那么它不会在相同域的 HTTP 环境下出现，例如http://site.com。
五、如果一个 cookie 包含绝不应该通过未加密的 HTTP 协议发送的敏感内容，那么就应该设置这个选项。

// 假设我们现在在 HTTPS 环境下
// 设置 cookie secure（只在 HTTPS 环境下可访问）
document.cookie = "user=John; secure";

HTTPOnly

一、设置 HTTPOnly 属性可以防止客户端脚本通过 document.cookie 等方式访问 Cookie，有助于避免 XSS 攻击。
二、Web 服务器使用Set-Cookieheader 来设置 cookie。并且，它可以设置httpOnly选项。
三、这个选项禁止任何 JavaScript 访问 cookie。我们使用document.cookie看不到此类 cookie，也无法对此类 cookie 进行操作。
四、这是一种预防措施，当黑客将自己的 JavaScript 代码注入网页，并等待用户访问该页面时发起攻击，而这个选项可以防止此时的这种攻击。这应该是不可能发生的，黑客应该无法将他们的代码注入我们的网站，但是网站有可能存在 bug，使得黑客能够实现这样的操作。
五、通常来说，如果发生了这种情况，并且用户访问了带有黑客 JavaScript 代码的页面，黑客代码将执行并通过document.cookie获取到包含用户身份验证信息的 cookie。这就很糟糕了。
六、但是，如果 cookie 设置了httpOnly，那么document.cookie则看不到 cookie，所以它受到了保护。

http-only与secure的不同

一、http-only 无法被网页脚本读取，不限制传输通路的安全性。secure 可以被网页脚本读取，只允许通过安全通路发送给服务器
二、secure 管的是传输协议，设置了 secure 的 cookie 只能在 https 下传输。httponly 管的是可见性，设置了 httponly 的 cookie 对 js 脚本不可见

SameSite

作用

一、SameSite 属性可以让 Cookie 在跨站请求时不会被发送，从而可以阻止跨站请求伪造攻击（CSRF）。
1、该属性目前并不是所有浏览器都兼容。
（1）samesite会被到 2017 年左右的旧版本浏览器忽略（不兼容）。

属性值

一、SameSite 可以有下面三种值：

Strict：仅允许一方请求携带 Cookie，即浏览器将只发送相同站点请求的 Cookie，即当前网页 URL 与请求目标 URL 完全一致。
Lax：允许部分第三方请求携带 Cookie
None：无论是否跨站都会发送 Cookie

1、之前默认是 None 的，Chrome80 后默认是 Lax。

samesite=strict（和没有值的samesite一样)

一、如果用户来自同一网站之外，那么设置了samesite=strict的 cookie 永远不会被发送。
1、换句话说，无论用户是通过邮件链接还是从evil.com提交表单，或者进行了任何来自其他域下的操作，cookie 都不会被发送。
二、如果身份验证 cookie 具有samesite选项，那么 XSRF 攻击是没有机会成功的，因为来自evil.com的提交没有 cookie。因此，bank.com将无法识别用户，也就不会继续进行付款。
三、这种保护是相当可靠的。只有来自bank.com的操作才会发送samesitecookie，例如来自bank.com的另一页面的表单提交。
四、虽然，这样有一些不方便。
1、当用户通过合法的链接访问bank.com时，例如从他们自己的笔记，他们会感到惊讶，bank.com无法识别他们的身份。实际上，在这种情况下不会发送samesite=strict cookie。
2、我们可以通过使用两个 cookie 来解决这个问题：
（1）一个 cookie 用于“一般识别”，仅用于说 “Hello, John”，另一个带有samesite=strict的 cookie 用于进行数据更改的操作。
（2）这样，从网站外部来的用户会看到欢迎信息，但是支付操作必须是从银行网站启动的，这样第二个 cookie 才能被发送。

samesite=lax

一、一种更轻松的方法，该方法还可以防止 XSRF 攻击，并且不会破坏用户体验。
二、宽松（lax）模式，和strict模式类似，当从外部来到网站，则禁止浏览器发送 cookie，但是增加了一个例外。
1、如果以下两个条件均成立，则会发送samesite=laxcookie：
（1）HTTP 方法是“安全的”（例如 GET 方法，而不是 POST）。所有安全的 HTTP 方法详见RFC7231 规范。基本上，这些都是用于读取而不是写入数据的方法。它们不得执行任何更改数据的操作。跟随链接始终是 GET，是安全的方法。
（2）该操作执行顶级导航（更改浏览器地址栏中的 URL）。这通常是成立的，但是如果导航是在一个中执行的，那么它就不是顶级的。此外，用于网络请求的 JavaScript 方法不会执行任何导航，因此它们不适合。<br />三、所以，samesite=lax所做的是基本上允许最常见的“去往 URL”操作具有 cookie。<br />1、例如，从笔记本中打开网站链接就满足这些条件。<br />2、但是，任何更复杂的事儿，例如来自另一个网站的网络请求或表单提交都会丢失 cookie。<br />四、如果这种情况适合你，那么添加samesite=lax将不会破坏用户体验并且可以增加保护。 <a name="ReWL1"></a></p> <h4 id="6tkzrz"><a name="6tkzrz" class="reference-link"></a><span class="header-link octicon octicon-link"></span>Samesite=None</h4><p><a name="nfoyW"></a></p> <h3 id="2xc6gy"><a name="2xc6gy" class="reference-link"></a><span class="header-link octicon octicon-link"></span>跨域和跨站</h3><p>一、首先要理解的一点就是跨站和跨域是不同的。同站(same-site)/跨站(cross-site)」和第一方(first-party)/第三方(third-party)是等价的。但是与浏览器同源策略（SOP）中的「同源(same-origin)/跨域(cross-origin)」是完全不同的概念。<br />1、同源策略的同源是指两个 URL 的协议/主机名/端口一致。例如，<a rel="nofollow" href="https://www.taobao.com/pages/...，它的协议是https，主机名是www.taobao.com，端口是443。">https://www.taobao.com/pages/...，它的协议是https，主机名是www.taobao.com，端口是443。</a><br />（1）同源策略作为浏览器的安全基石，其「同源」判断是比较严格的，<br />2、相对而言，Cookie中的「同站」判断就比较宽松：只要两个 URL 的 eTLD+1 相同即可，不需要考虑协议和端口。其中，eTLD 表示有效顶级域名，注册于 Mozilla 维护的公共后缀列表（Public Suffix List）中，例如，.com、.co.uk、.github.io 等。eTLD+1 则表示，有效顶级域名+二级域名，例如 taobao.com 等。</p> <table> <thead> <tr> <th>【示例】www.taobao.com 和www.baidu.com是跨站<br />【示例】www.a.taobao.com 和www.b.taobao.com是同站<br />【示例】a.github.io 和 b.github.io 是跨站(注意是跨站)。<br />（1）因为io是顶级域名（TLD），github.io是有效顶级域名（eTLD）</th> </tr> </thead> <tbody> <tr> <td></td> </tr> </tbody> </table> <p><a name="RNXST"></a></p> <h3 id="vzoo1"><a name="vzoo1" class="reference-link"></a><span class="header-link octicon octicon-link"></span>改变</h3><p>| 一、2020年2 月份发布的 Chrome80 版本中默认值从 None 改成 Lax。<br />二、从 None 改成 Lax 到底影响了哪些地方的 Cookies 的发送？直接来一个图表：<br /><a rel="nofollow" href="https://camo.githubusercontent.com/feff36574753ce4c04ddfe9769e623ad671a539ac8792a40f8aff34909ee8114/68747470733a2f2f67772e616c6963646e2e636f6d2f7466732f54423172473448794b4832674b306a535a4645585863714d7058612d313430302d3532382e706e67"><img src="https://camo.githubusercontent.com/feff36574753ce4c04ddfe9769e623ad671a539ac8792a40f8aff34909ee8114/68747470733a2f2f67772e616c6963646e2e636f6d2f7466732f54423172473448794b4832674b306a535a4645585863714d7058612d313430302d3532382e706e67#crop=0&crop=0&crop=1&crop=1&from=paste&height=528&id=m4UiS&margin=%5Bobject%20Object%5D&originHeight=528&originWidth=1400&originalType=url&ratio=1&rotation=0&showTitle=false&status=done&style=none&title=&width=1400" alt=""></a><br />1、从上图可以看出，对大部分 web 应用而言，Post 表单，iframe，AJAX，Image 这四种情况从以前的跨站会发送三方 Cookie，变成了不发送。<br />2、影响范围<br />（1）Post表单：应该的，学 CSRF 总会举表单的例子。<br />（2）iframe：iframe 嵌入的 web 应用有很多是跨站的，都会受到影响。<br />（3）AJAX：可能会影响部分前端取值的行为和结果。<br />（4）Image：图片一般放 CDN，大部分情况不需要 Cookie，故影响有限。但如果引用了需要鉴权的图片，可能会受到影响。<br />（5）除了这些还有 script 的方式，这种方式也不会发送 Cookie，像淘宝的大部分请求都是 jsonp，如果涉及到跨站也有可能会被影响。<a name="SIged"></a></p> <h4 id="75nw3u"><a name="75nw3u" class="reference-link"></a><span class="header-link octicon octicon-link"></span>对阿里的影响</h4><p>一、2020年2 月份发布的 Chrome80 版本中默认屏蔽了第三方的 Cookie，这会导致阿里系的很多应用都产生问题，为此还专门成立了问题小组，推动各 BU 进行改造。<a name="c7d22"></a></p> <h5 id="pi3qe"><a name="pi3qe" class="reference-link"></a><span class="header-link octicon octicon-link"></span>问题</h5><p>一、我们再看看会出现什么的问题？举几个例子：<br />1. 天猫和飞猪的页面靠请求淘宝域名下的接口获取登录信息，由于 Cookie 丢失，用户无法登录，页面还会误判断成是由于用户开启了浏览器的“禁止第三方 Cookie”功能导致而给与错误的提示<br />1. 淘宝部分页面内嵌支付宝确认付款和确认收货页面、天猫内嵌淘宝的登录页面等，由于 Cookie 失效，付款、登录等操作都会失败<br />1. 阿里妈妈在各大网站比如今日头条，网易，微博等投放的广告，也是用 iframe 嵌入的，没有了 Cookie，就不能准确的进行推荐<br />1. 一些埋点系统会把用户 id 信息埋到 Cookie 中，用于日志上报，这种系统一般走的都是单独的域名，与业务域名分开，所以也会受到影响。<br />1. 一些用于防止恶意请求的系统，对判断为恶意请求的访问会弹出验证码让用户进行安全验证，通过安全验证后会在请求所在域种一个Cookie，请求中带上这个Cookie之后，短时间内不再弹安全验证码。在Chrome80以上如果因为Samesite的原因请求没办法带上这个Cookie，则会出现一直弹出验证码进行安全验证。<br />1. 天猫商家后台请求了跨域的接口，因为没有 Cookie，接口不会返回数据<br />1. ……<br /> 如果不解决，影响的系统其实还是很多的……<a name="Cn8AV"></a></p> <h5 id="7ka4c3"><a name="7ka4c3" class="reference-link"></a><span class="header-link octicon octicon-link"></span>解决</h5><p>一、解决方案就是设置 SameSite 为 none。<br />二、【示例】以 Adobe 网站为例：<a rel="nofollow" href="https://www.adobe.com/sea/，查看请求可以看到：">https://www.adobe.com/sea/，查看请求可以看到：</a><br /><a rel="nofollow" href="https://camo.githubusercontent.com/19e99f017d864253810865ce7dd6550f1ace4e7e38c40b0f592c2eb57681772a/68747470733a2f2f67772e616c6963646e2e636f6d2f7466732f5442314976424b79473631674b306a535a466c585858444b4658612d313933342d313032322e6a7067"><img src="https://camo.githubusercontent.com/19e99f017d864253810865ce7dd6550f1ace4e7e38c40b0f592c2eb57681772a/68747470733a2f2f67772e616c6963646e2e636f6d2f7466732f5442314976424b79473631674b306a535a466c585858444b4658612d313933342d313032322e6a7067#crop=0&crop=0&crop=1&crop=1&from=paste&height=1022&id=Nr7IX&margin=%5Bobject%20Object%5D&originHeight=1022&originWidth=1934&originalType=url&ratio=1&rotation=0&showTitle=false&status=done&style=none&title=&width=1934" alt=""></a><br />1、不过也会有两点要注意的地方：<br />（1）HTTP 接口不支持 SameSite=none<br />① 如果你想加 SameSite=none 属性，那么该 Cookie 就必须同时加上 Secure 属性，表示只有在 HTTPS 协议下该 Cookie 才会被发送。<br />（2）需要 UA 检测，部分浏览器不能加 SameSite=none<br />① IOS 12 的 Safari 以及老版本的一些 Chrome 会把 SameSite=none 识别成 SameSite=Strict，所以服务端必须在下发 Set-Cookie 响应头时进行 User-Agent 检测，对这些浏览器不下发 SameSite=none 属性 | | —- |</p> <p><a name="8WS46"></a></p> <h1 id="593spa"><a name="593spa" class="reference-link"></a><span class="header-link octicon octicon-link"></span>Cookie 函数</h1><p>一、这里有一组有关 cookie 操作的函数，比手动修改document.cookie方便得多。<br />二、有很多这种 cookie 库，所以这些函数只用于演示。虽然它们都能正常使用。 <a name="IoYfY"></a></p> <h2 id="c30mtn"><a name="c30mtn" class="reference-link"></a><span class="header-link octicon octicon-link"></span>getCookie(name)</h2><p>一、获取 cookie 最简短的方式是使用<a rel="nofollow" href="https://zh.javascript.info/regular-expressions">正则表达式</a>。<br />二、getCookie(name)函数返回具有给定name的 cookie：</p> <pre><code class="lang-javascript">// 返回具有给定 name 的 cookie， // 如果没找到，则返回 undefined function getCookie(name) { let matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\[\]\\\/\+^])/g, '\\$1') + "=([^;]*)" )); return matches ? decodeURIComponent(matches[1]) : undefined; } </code></pre> <p>1、这里的new RegExp是动态生成的，以匹配; name=<value>。<br />2、请注意 cookie 的值是经过编码的，所以getCookie使用了内建方法decodeURIComponent函数对其进行解码。 <a name="tQHto"></a></p> <h2 id="6htt3p"><a name="6htt3p" class="reference-link"></a><span class="header-link octicon octicon-link"></span>setCookie(name, value, options)</h2><p>一、将 cookiename设置为具有默认值path=/（可以修改以添加其他默认值）和给定值value：</p> <p>| 【示例】```javascript function setCookie(name, value, options = {}) {</p> <p> options = { path: ‘/‘, // 如果需要，可以在这里添加其他默认值 …options };</p> <p> if (options.expires instanceof Date) { options.expires = options.expires.toUTCString(); }</p> <p> let updatedCookie = encodeURIComponent(name) + “=” + encodeURIComponent(value);</p> <p> for (let optionKey in options) { updatedCookie += “; “ + optionKey; let optionValue = options[optionKey]; if (optionValue !== true) { updatedCookie += “=” + optionValue; } }</p> <p> document.cookie = updatedCookie; }</p> <p>function setCookie(name, value, options = {}) { options = { path: ‘/‘, // 如果需要，可以在这里添加其他默认值 …options };</p> <p> if (options.expires instanceof Date) { options.expires = options.expires.toUTCString(); } let updatedCookie = encodeURIComponent(name) + “=” + encodeURIComponent(value);</p> <p> for (let optionKey in options) { updatedCookie += “; “ + optionKey; let optionValue = options[optionKey]; if (optionValue !== true) { updatedCookie += “=” + optionValue; } }</p> <p> document.cookie = updatedCookie; }</p> <pre><code> | | --- | <a name="up6gf"></a> ## deleteCookie(name) 一、要删除一个 cookie，我们可以给它设置一个负的过期时间来调用它： | 【示例】```javascript function deleteCookie(name) { setCookie(name, "", { 'max-age': -1 }) } </code></pre><p> | | —- |</p> <p>二、当我们更新或删除一个 cookie 时，我们应该使用和设置 cookie 时相同的路径和域选项。 <a name="REPC5"></a></p> <h1 id="195cin"><a name="195cin" class="reference-link"></a><span class="header-link octicon octicon-link"></span>第三方 cookie</h1><p>一、如果 cookie 是由用户所访问的页面的域以外的域放置的，则称其为第三方 cookie。</p> <p>| 示例<br />1、site.com网站的一个页面加载了另外一个网站的 banner：<code>javascript <img src="https://ads.com/banner.png"></code> 2、与 banner 一起，ads.com的远程服务器可能会设置带有id=1234这样的 cookie 的Set-Cookieheader。此类 cookie 源自ads.com域，并且仅在ads.com中可见：<br /><img src="https://cdn.nlark.com/yuque/0/2021/png/355497/1618478285202-2a678a9d-65b9-406a-8daf-2c6fb04262a5.png#clientId=ue9a25a39-9d37-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=167&id=DzcSP&margin=%5Bobject%20Object%5D&originHeight=167&originWidth=639&originalType=binary&ratio=1&rotation=0&showTitle=false&size=17268&status=done&style=none&taskId=u57d75e96-6c2b-44fa-a99c-7130a3386ce&title=&width=639" alt=""><br />3、下次访问ads.com网站时，远程服务器获取 cookieid并识别用户：<br /><img src="https://cdn.nlark.com/yuque/0/2021/png/355497/1618478295472-d5b79bdc-e747-40cb-b6e3-ea46876130f2.png#clientId=ue9a25a39-9d37-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=159&id=sDfz1&margin=%5Bobject%20Object%5D&originHeight=159&originWidth=629&originalType=binary&ratio=1&rotation=0&showTitle=false&size=15218&status=done&style=none&taskId=ue5f6d19a-aa9c-4947-b6d0-fcfbd910308&title=&width=629" alt=""><br />4、更为重要的是，当用户从site.com网站跳转至另一个也带有 banner 的网站other.com时，ads.com会获得该 cookie，因为它属于ads.com，从而识别用户并在他在网站之间切换时对其进行跟踪：<br /><img src="https://cdn.nlark.com/yuque/0/2021/png/355497/1618478305868-a96ac824-3229-4777-8eb3-93931ec4a7d3.png#clientId=ue9a25a39-9d37-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=168&id=SaI6C&margin=%5Bobject%20Object%5D&originHeight=168&originWidth=645&originalType=binary&ratio=1&rotation=0&showTitle=false&size=16695&status=done&style=none&taskId=ufa07d613-1cd2-459e-b011-b9cd5c06cc6&title=&width=645" alt=""> | | —- |</p> <p>三、由于它的性质，第三方 cookie 通常用于跟踪和广告服务。它们被绑定在原始域上，因此ads.com可以在不同网站之间跟踪同一用户，如果这些网站都可以访问ads.com的话。<br />1、有些人不喜欢被跟踪，因此浏览器允许禁止此类 cookie。<br />2、一些现代浏览器对此类 cookie 采取特殊策略：<br />（1）Safari 浏览器完全不允许第三方 cookie。<br />（2）Firefox 浏览器附带了一个第三方域的黑名单，它阻止了来自名单内的域的第三方 cookie。<br />3、在为欧盟公民设置跟踪 cookie 时，GDPR 要求必须得到用户明确许可<br />四、如果我们加载了一个来自第三方域的脚本，例如<script src="https://google-analytics.com/analytics.js">，并且该脚本使用document.cookie设置了 cookie，那么此类 cookie 就不是第三方的。<br />五、如果一个脚本设置了一个 cookie，那么无论脚本来自何处 —— 这个 cookie 都属于当前网页的域。 <a name="Mlfci"></a></p> <h1 id="cdumb2"><a name="cdumb2" class="reference-link"></a><span class="header-link octicon octicon-link"></span>Cookie 的作用</h1><p>一、Cookie 主要用于以下三个方面：</p> <ol> <li>会话状态管理（如用户登录状态、购物车、游戏分数或其它需要记录的信息）</li><li>个性化设置（如用户自定义设置、主题等）</li><li>浏览器行为跟踪（如跟踪分析用户行为等）</li></ol>

😈 JavaScript大魔王

Cookie, document.cookie