一、属性介绍
-
Name
Cookie的key
-
Value
Cookie的value
-
Domain
可以访问此Cookie的域名
-
Path
可以访问此Cookie的页面路径
-
Expires/Max-Age
Cookie的生命期,不设置默认值是一次会话,浏览器进程关闭后,此Cookie失效
-
Size
此Cookie大小
-
HTTP
设置HttpOnly为true,则只有在http请求头中会带有此Cookie的信息,不能通过Document.cookie来访问此Cookie信息,防止XSS攻击
-
Secure
是否只能通过HTTPS协议来与WEB服务器之间传递此条Cookie数据
-
SameSite
用于定义Cookie如何跨域发送,用于阻止CSRF攻击,有两个属性Strict和Lax
详细介绍
二、跨域问题
1.Domain和Path的默认值
Domain默认html文件所在的域名,Path默认为html文件所在的路径
2.Domain设置规则
- 设置—js设置domain要符合域名的规则,可设置成 baidu.com,但是不能设置成baidu。不可以把cookie设置成不同于html域名的domian。会设置不成功。但不会影响后面程序对cookie的操作。如果domain设置错误,该cookie将不会被创建,并且后续对cookie的操作都会被浏览器禁止。js手动设置cookie的domain都是以.开头的。比如设置成 baidu.com,实际为 .baidu.com,删除cookie时可不加.
- 获取—js只能获取domian大于等于当前页面域名的cookie。如 www.baidu.com/testCookie.html 页面中的js能获取domain为 www.baidu.com 和 .www.baidu.com 和 .baidu.com,获取不到 news.baidu.com 中的cookie
- 删除—domain值必须跟要删除cookie的domain相同
3.Path设置规则
- 设置—js设置path要以”/”开头,如html路径为”/blog/20160623/”,路径可以设置成”/”或”/blog”, 如果path不是以”/”开头,则创建cookie的path会使用默认path;如果是以”/”开头,但是设置错误,路径名不存在或者直接设置成子路径。比如设置成”/20160623”,该cookie不会被创建,并且后续对cookie的操作不论正确与否都会被浏览器禁止
- 获取—js只能获取path大于等于当前页面path的cookie,如html路径为/blog/20160623/,使用js只能获取/blog/20160623/和/blog和/路径下的cookie
- 删除—js删除cookie时路径必须相同
页面能访问那些Cookie和从哪里引入js没有关系,跟Html文件所在的domain和path有关系。Cookie只能跨二级域名来访问,不能跨一级域名来访问。js删除一个cookie,domain和路径必须完全相同。
三、小实例
1.同域情况
| name | domain | path |
|---|---|---|
| a | a.baidu.com | / |
| b | a.baidu.com | /tmp |
| c | a.baidu.com | /abc |
| d | a.baidu.com | /abc/def |
/下的页面只能访问a
/tmp下的页面可以访问a,b
/abc下的页面可以访问a,c
/abc/def下的页面可以访问a,c,d
2.不同域情况
| name | domain | path |
|---|---|---|
| a | a.baidu.com | / |
| b | b.baidu.com | /tmp |
| c | c.baidu.com | /abc |
| d | d.baidu.com | /abc/def |
a,b,c,d不能同时被访问,指定域下的路径中的网页才能访问对应的Cookie
想要同时被访问就需要把domain修改为一级域 baidu.com,之后的规则就是同域情况了