HTTP报头中为cookie服务的首部字段

Cookie的工作机制是用户识别和状态管理。Web网站为了管理用户的状态，会通过Web服务器，把一些数据临时写入用户的计算机内。当用户访问该Web网站时，可通过通信方式取回之前存放的Cookie。调用Cookie是，由于可校验Cookie的有效期，，以及发送方的域、路径、协议等，所以正规发布的Cookie内的数据不会因为来自其他Web站点和攻击者的攻击而泄漏。
Set-Cookie字段的属性

属性	说明
NAME= VALUE	赋予Cookie的名称和其值（必须项）
expires = DATA	Cookie的有效期（若没有明确指定，则默认到浏览器关闭为止），一旦Cookie从服务器发送至客户端，服务器就不存在可以显示删除Cookie的方法。但可以通过覆盖已过期的Cookie，实现对客户端Cookie的实质性删除操作。
path=PATH	将服务器上的文件目录组委Cookie的适用对象（若不指定则默认为文档所在的文件目录）
domain = 域名	作为Cookie使用对象的域名（若不指定则默认为创建Cookie的服务器域名），通过domain属性指定的域名可做到与结尾匹配一致。除了针对具体指定的多个域名发送Cookie外，不指定domain属性显得更安全。
Secure	仅在HTTPS安全通信时才发送Cookie。当没有指定Secure时，无论是HTTP还是HTTPS都会对Cookie进行回收。
HttpOnly	加以限制，使Cookie不能被JavaScript脚本访问。加上HttpOnly属性后，通常从Web网页内还可以对Cookie进行读取操作，但使用JavaScript的document.Cookie就无法读取附加HttpOnly属性后的Cookie的内容了。也就无法再XSS中那个利用JavaScript劫持Cookie了。

首部字段Cookie会告知服务器，当客户端想获得HTTP状态管理支持时，就会在请求中包含从服务器接收到的Cookie。接收到多个Cookie时，同样可以以过个Cookie形式发送。