Cookie字段:Set-Cookie

当服务器准备开始管理客户端的状态时,会事先告知各种信息

Set-Cookie:status=enable;expires=Tue, 05 Jul 2014 08:22:31 GMT; => path=/;domain=.hackr.jp;

expires:Cookie的有效期,仅限于维持浏览器会话时间段内.若不明确指定则默认为浏览器关闭前为止

path:限制指定Cookie的发送范围的文件目录,若不指定则默认为文档所在的文件目录,但有办法可避开这项限制,所以对其作为安全机制不能抱有期待

domain:作为Cookie适用对象的域名,若不指定则默认为创建Cookie服务器的域名,但除了针对具体指定的多个域名发送Cookie之外,不指定domain属性显得更安全

secure:仅在HTTPS安全通信时,才可以发送Cookie.
Set-Cookie:name=value;secure

HttpOnly:它使JavaScript脚本无法获取Cookie,为防止跨站脚本攻击(Cross-site scripting,XSS)对Cookie的信息窃取
Set-Cookie:name=value;HttpOnly