Http 请求头Cookie,响应头Set-Cookie

Cookie

Http请求头
由服务器使用set-Cookie头发送，或者在Javascript中使用document.cookie设置

语法

Cookie: name=value; name2=value2; name3=value3

Set-Cookie

Http响应头
用于从服务器向用户代理发送cookie，然后浏览器会将数据设置给下次请求的Cookie请求头，返回服务器。session功能的类似实现
可以设置多个Set-Cookie在相同的Http响应中

语法

Set-Cookie: <cookie-name>=<cookie-value>
Set-Cookie: <cookie-name>=<cookie-value>; Expires=<date>
Set-Cookie: <cookie-name>=<cookie-value>; Max-Age=<non-zero-digit>
Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>
Set-Cookie: <cookie-name>=<cookie-value>; Path=<path-value>
Set-Cookie: <cookie-name>=<cookie-value>; Secure
Set-Cookie: <cookie-name>=<cookie-value>; HttpOnly

Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Strict
Set-Cookie: <cookie-name>=<cookie-value>; SameSite=Lax
Set-Cookie: <cookie-name>=<cookie-value>; SameSite=None; Secure

// Multiple attributes are also possible, for example:
Set-Cookie: <cookie-name>=<cookie-value>; Domain=<domain-value>; Secure; HttpOnly

属性

• <cookie-name>=<cookie-value>
  US-ASCII 字符, 除了control characters, spaces, 或tabs。还不能包括下面分分割符( ) < > @ , ; : \ " / [ ] ? = { }
  Cookie名称开始的前缀是**__secure-时，必须要设置HTTPS的flagsecure
  Cookie名称开始的前缀是__Host-**时，必须要设置HTTPS的flagsecure，不能指定域，path必须是/
• Expires=<date>
  Cookie作为HTTP日期时间戳的最大生存期，参考Date对象
  未设置的时候cookie变成了session cookie(session的实现),会话在客户端关闭时结束，session cookie将被删除。
  许多浏览器有 session restore 功能，保存session cookie,下次使用的时候session cookie会被还原。
  设置到期日期时，截止日期相对于正在设置cookie的客户端，而不是服务器。
• Max-Age=<number>
  直到cookie过期的秒数。零或负数将立即过期cookie。如果两者都已到期，并且设置了Max-Age，则Max-Age优先
• Domain=<domain-value>
  将cookie发送到的主机
  • 如果省略，默认为当前文档URL的主机，不包括子域
  • 不允许多个主机/域值，但如果指定了域，则始终包括子域
• Path=<path-value>
  请求的URL中必须存在的路径，否则浏览器将不发送Cookie报头
  正斜杠(/)字符被解释为目录分隔符，子目录也将匹配：对于path=/docs，/docs/web/，和/docs/web/HTTP都将匹配
• Secure
  Cookie只在使用https：(本地主机除外)发出请求时才发送到服务器，因此更能抵抗中间人的攻击
  • 不要假设安全会阻止所有对cookie中敏感信息(会话密钥、登录详细信息等)的访问。带有此属性的cookie仍然可以通过访问客户端的硬盘来读取/修改，如果没有设置HttpOnly cookie属性，则可以从JavaScript读取/修改Cookie
  • 不安全站点(http：)不能使用安全属性设置cookie
• HttpOnly
  设置了 HttpOnly 属性的 cookie 不能使用 JavaScript 经由 Document.cookie 属性、XMLHttpRequest 和 Request APIs 进行访问，以防范跨站脚本攻击（XSS）。请注意，使用HttpOnly创建的cookie仍将与JavaScript启动的请求一起发送。
• SameSite=<samesite-value>
  控制cookie是否与跨源请求一起发送，从而提供一些防范跨站点请求伪造攻击(Csrf)的保护
  属性值
  • Lax
    Cookie不是在跨站点请求(如对加载图像或帧的调用)上发送的，而是在用户从外部站点导航到源站点时发送的。
  • Strict
    浏览器只为同一站点请求(即来自设置cookie的同一站点的请求)发送cookie。如果请求来自与当前URL不同的URL，则不会发送带有SameSite=Strength属性的cookie。
  • None
    浏览器发送带有跨站点请求和相同站点请求的cookie。当SameSite=None时，还必须设置安全属性！

Example

Session cookie
Session cookies are removed when the client shuts down. Cookies are session cookies if they don’t specify the Expires or Max-Age attributes.

Set-Cookie: id=sada78dad