cookis各参数详解

Name:cookie名

Value:cookie值

Domain:属于哪个域名

Path:属于哪个路径

Expires:过期时间

Size:大小

HTTP:HttpOnly=true的cookie不能被js获取到，无法用document.cookie打出cookie的内容

Secure:只能用https协议发送给服务器

SameSite:

一种新的防止跨站点请求伪造（cross site request forgery）的 http 安全特性。该值可以设置为 Strict 或 Lax

Strict

Strict是最严格的防护，有能力阻止所有CSRF攻击。然而，它的用户友好性太差，因为它可能会将所有GET请求进行CSRF防护处理。

例如：一个用户在reddit.com点击了一个链接（GET请求），这个链接是到facebook.com的，而假如facebook.com使用了Samesite-cookies并且将值设置为了Strict，那么用户将不能登陆Facebook.com，因为在Strict情况下，浏览器不允许将cookie从A域发送到Ｂ域。

Lax

Lax(relax的缩写？)属性只会在使用危险HTTP方法发送跨域cookie的时候进行阻止，例如POST方式。

例1：一个用户在reddit.com点击了一个链接（GET请求），这个链接是到facebook.com的，而假如facebook.com使用了Samesite-cookies并且将值设置为了Lax，那么用户可以正常登录facebok.com，因为浏览器允许将cookie从A域发送到B域。

例2：一个用户在reddit.com提交了一个表单（POST请求），这个表单是提交到facebook.com的，而假如facebook.com使用了Samesite-cookies并且将值设置为了Lax，那么用户将不能正常登陆Facebook.com，因为浏览器不允许使用POST方式将cookie从A域发送到Ｂ域