cookie是什么
HTTP本身是无状态的,即服务器无法判断用户身份。Cookie实际上是一小段文本信息。客户端向服务器发起请求。 若服务器需要记录该用户状态,则使用response向客户端浏览器颁发一个Cookie,客户端浏览器会把Cookie保存起来。当服务器再次请求时,浏览器会同时携带Cooie一起提交给服务器
Cookie常见字段值
name:Cookie名称。不能包含特殊字符
value:Cookie值。同Cookie名称,可以进行转码和加密
Expires:过期时间。存储GMT格式的时间,到了过期时间,则自动删除cookie
若不设置,则在关闭浏览器后删除cookie
Path:路径。在这个页面下的路径才能访问Cookie,一般设为"/"表示同站点下的所有页面都能访问该cookie
Domain:子域。指定在该子域下才能访问Cookie,例如要让Cookie在a.test.com下可以访问,但在b.test.com下不能访问,设置Domain为a.test.com
Secure:安全性。指定Cookie是否只能HTTPS访问,一般的Cookie使用HTTP协议即可访问
HttpOnly:如果在Cookie中设置了HttpOnly属性,则可以有效防止XSS攻击——通过脚本无法获取Cookie信息
