Cookie是什么?

Cookie是服务器发给浏览器的一小段文本信息，每个Cookie的大小一般不会超过4KB（每个浏览器都不一样），Cookie会保存在客户端，或存储于内存或存储于硬盘。浏览器的同源政策规定，两个网址只要域名相同和端口相同，就可以共享 Cookie，不用遵循协议相同。

Cookie有什么用？

一般Cookie会记录一些用户信息，比如登录凭据（用户名和密码的加密形式），用户在页面上的操作信息（比如购物车添加商品），记录分析用户行为，浏览器信息，客户端信息等等。当浏览器再次向同一服务器发起请求，都会带上之前服务器发送过来的Cookie，这样服务器就能识别是哪个用户再访问，以及Cookie上面记录的用户信息。

用一句话表示：让服务器知道你是你，以及你的信息（行为，偏好等等）

Cookie的存在周期是多久？

Cookie有存在周期，可人为设置，亦可默认，默认状态下，Cookie 只在当前会话（session）有效，浏览器窗口一旦关闭，当前 Session 结束，该 Cookie 就会被删除。

需要注意的是，有些浏览器提供了会话恢复功能，这种情况下即使关闭了浏览器，会话期Cookie也会被保留下来，就好像浏览器从来没有关闭一样。

另外，浏览器也根据本地时间（Expires属性设置，见下文），决定 Cookie 是否过期，由于本地时间是不精确的，所以没有办法保证 Cookie 一定会在服务器指定的时间过期。

后端如何创建Cookie？

当服务器收到请求后，可在响应头设置Cookie发送给浏览器：

response.setHeader('Set-Cookie', 'kevl=value')

Cookie要以键值对儿的形式，Cookie名 =  Cookie值;

浏览器得到的响应如下例所示：

HTTP/1.0 200 OK

Content-type: text/html

Set-Cookie: key = value

Set-Cookie: key = value

Cookie有以下属性，均可在创建Cookie的时候设置，来让其拥有不同的特性：

设置Cookie的有效存在周期有两个属性：①，Expires（不推荐用，见上文） ②，Max-Age

Expires：指定一个具体的到期时间，到了指定时间以后，浏览器就不再保留这个 Cookie。

Expires=Wed, 21 Oct 2015 07:28:00 GMT;

Max-Age:指定从现在开始 Cookie 存在的秒数，比如60 * 60 * 24 * 365（即一年）。过了这个时间以后，浏览器就不再保留这个 Cookie。

如果同时指定了Expires和Max-Age，那么Max-Age的值将优先生效。

设置Cookie作用域的两个属性： ①Domain，②Path

它们决定了Cookie应该发送给哪些URL

Domain：指定浏览器发出 HTTP 请求时，哪些域名要附带这个 Cookie。如果没有指定该属性，浏览器会默认将其设为当前域名，这时子域名将不会附带这个 Cookie。

例如：如果设置 Domain=hahah.com，则Cookie也包含在子域名中（如heihei.hahah.com）。

Path:指定浏览器发出 HTTP 请求时，哪些路径要附带这个 Cookie。比如，PATH属性是/，那么请求/docs路径也会包含该 Cookie。当然，前提是域名必须一致。

例如，设置 Path=/docs，则以下地址都会匹配：/docs       /docs/Web/     /docs/Web/HTTP

设置Cookie的发送权限与读写权限的两个属性： ①，Secure ②，HttpOnly

Secure：指定浏览器只有在加密协议 HTTPS 下，才能将这个 Cookie 发送到服务器。

HttpOnly：属性指定该 Cookie 无法通过 JavaScript 脚本拿到，主要是document.cookie属性、XMLHttpRequest对象和 Request API 都拿不到该属性。这样就防止了该 Cookie 被脚本读到 。

前端JS如何读写Cookie？

document.cookie

该属性用于读写当前网页的 Cookie。

读取的时候，它会返回当前网页的所有 Cookie，每个Cookie值用分号分隔，前提是该 Cookie 不能有HTTPOnly属性。

例如：document.cookie// "foo=bar;baz=bar"

该属性是可写的，可以通过它为当前网站添加 Cookie。

写入的时候，Cookie 的值必须写成key=value的形式。

注意，等号两边不能有空格。另外，写入 Cookie 的时候，必须对分号、逗号和空格进行转义（它们都不允许作为 Cookie 的值），这可以用encodeURIComponent方法达到。

但是，document.cookie一次只能写入一个 Cookie，而且写入并不是覆盖，而是添加。

例如：document.cookie="yummy_cookie=choco";

           document.cookie="tasty_cookie=strawberry";

也可以为Cookie写入属性值。

各个属性的写入注意点如下。

path属性必须为绝对路径，默认为当前路径。

domain属性值必须是当前发送 Cookie 的域名的一部分。比如，当前域名是example.com，就不能将其设为foo.com。该属性默认为当前的一级域名（不含二级域名）。

max-age属性的值为秒数。

expires属性的值为 UTC 格式，可以使用Date.prototype.toUTCString()进行日期格式转换。

document.cookie写入 Cookie 的例子如下：

setCooki

Cookie存在的问题有哪些？

可以被篡改（JS脚本，开发者工具）

Cookie会被附加在每个HTTP请求中，所以无形中增加了流量。

由于在HTTP请求中的Cookie是明文传递的，所以安全性成问题。

Cookie的大小限制在4KB左右，对于复杂的存储需求来说是不够用的。

Cookie安全吗？

Cookie包含了一些敏感消息：用户名、计算机名、使用的浏览器和曾经访问的网站。别有用心之人可以利用某些技术手段窃取Cookie。所以Cookie并不安全！