Http的Cookies机制

之前讲Http是无状态的，服务器不会对Http请求有记忆性。在一些需要服务器记忆的场景，比如用户识别、登录状态保持方面，略有不足。

Cookies机制应运而生，浏览器发送请求后，服务器可在响应报文中设置Cookies字段，浏览器接收到后存储在Cookies的存储区中。在后续符合要求的请求中，会默认携带Cookies信息。

Cookies字段

Set-Cookie

服务器通过Set-Cookie字段设置Cookies，以name=value的形式。

还可设置Cookie的属性值，如

• domain（域名）、path（路径），只有请求符合域名和path时才会携带Cookies。
• Expires和max-age，都表示Cookies的过期时间，其中Expires是绝对时间，max-age为相对时间（即是一个时间长度，单位为ms，收到请求时间为起始时间，推算出绝对时间）。两者可以不一致，最终以max-age为准。
• HttpOnly关键字，表示此Cookie只能在Http请求中读取，其他获取方式无效（如document.cookie），可以提升隐私安全性。
• SameSite属性，可用于防御跨站点伪造攻击（XSRF）。决定在跳转到的第三方网站中发送的伪造请求是否携带Cookie信息。可选三个值：Lax（默认值）、Strict和None。为Lax时在跳转到的页面中发送Get、Head请求时可携带Cookies，为Strict时，不允许携带Cookies；为None时不做限制。
• Secure关键字，表示只在Https加密请求中携带Cookies。

Cookie

浏览器收到响应报文中的Set-Cookie字段后，将cookies存储到专用的存储区。发送符合条件（域名、路径、过期时间等上述几个属性）的请求时，会携带Cookie。

Cookie中可有多个name-value字段，用分号隔开

实例

第一次请求该网站，还没有Cookies，服务器会在响应报文中设置Cookies。

第一次请求报文

第一次响应报文

第二次请求该网站，已有Cookies，响应报文中会携带Cookies。

第二次请求报文

第二次响应报文

用途

主要用于身份识别，从而进行登录状态保持、内容和广告的精准投放等事务。