为 Cookie 服务的首部字段（七）

管理服务器与客户端之间的状态而 Cookie，虽然没有被编入标准化 HTTP/1.1 的 RFC2616 中，但在 Web 网站方面得到了广泛的应用。
Cookie 的工作机制是用户识别及状态管理。 Web 网站为了管理用户的状态会通过 Web 浏览器，把一些数据临时写入用户的计算机内。接着当用户访问该 Web 网站时，可通过通信方式取回之前发放的 Cookie。

首部字段名	说明	首部类型
Set-Cookie	开始状态管理所使用的Cookie信息	响应首部字段
Cookie	服务器接收到的Cookie信息	请求首部字段

1.Set-Cookie

 Set-Cookie: status=enable; expires=Tue, 05 Jul 2011 07:26:31 GMT; path=/; domain=.hackr.jp;

Set-Cookie字段的属性**

属性	说明
NAME=VALUE	赋予 Cookie 的名称和其值（必须项）
expires=DATE	指定浏览器可发送 Cookie 的有效期（若不指定则默认为浏览器关闭为止）
path=PATH	将服务器上的文件目录作为 Cookie 的适用对象（若不指定则默认为文档所在的文件目录）
domain=域名	作为 Cookie 适用对象的域名（若不指定则默认为创建 Cookie 的服务器的域名）
Secure	仅在 HTTPS 安全通信时才会发送 Cookie
HttpOnly	加以限制，使 Cookie 不能被 JavaScript 脚本访问。主要目的是为防止跨站脚本攻击对 Cookie 的信息窃取。

一旦 Cookie 从服务器发送到客户端，服务端就不存在可以显示删除 Cookie 的方法。但可以通过覆盖已过期的 Cookie，实现对客户端 Cookie 的实质性删除操作。

secure 属性
该属性用于限制 Web 页面仅在 HTTPS 安全连接时，才可以发送 Cookie 。具体使用如下

Set-Cookie: name=value; secure

提示：当省略 secure 属性时，不论 HTTP 还是 HTTPS ，都会对 Cookie 进行回收。

2. Cookie

Cookie: status=enable

首部字段 Cookie 会告知服务器，当客户端想获得 HTTP 状态管理支持时，就会在请求中包含从服务器接收到的 Cookie。 接收到多个 Cookie 时，同样可以以多个 Cookie 形式发送。