Cookie的特点和使用经验/建议总结

一、前言

• 什么是Cookie？

Cookie就是以Key，Value的形式存储在浏览器端的数据。 https://baike.baidu.com/item/cookie/1119

二、工作原理&应用场景

• 工作原理

在Request的时候，浏览器将Cookie信息放在HTTP-Request Headers中。 在Response的时候，浏览器保存HTTP-Response Headers信息中的Cookie信息。

Cookie的核心信息包含三个部分：Name、Value、过期时间。 Cookie的保存是覆盖式的，所以Cookie的添加、更新、删除对于浏览器来说都是执行设置（set）的动作。

• 应用场景

1. 记住用户名
2. 购物车信息

三、特点

1、存储特点

• （1）存储大小受限，跟浏览器版本有关
• （2）存储条数受限，跟浏览器版本有关
• （3）字符编码为Unicode，不支持直接存储中文
• （4）存储内容可以被轻松查看，不建议存储敏感信息
• （5）可靠性差，可能随时都会因为各种原因被删除
• （6）存储属性除了Name、Value、过期时间，还有Domian、Path，当前域可以操作当前域子域、父域名的Cookie，当前Path，可以操作当前Path以及当前Path子、父Path下的Cookie。

domian：www.ken.io 是ken.io的子域，是test.www.ken.io的父域，同时也是blog.ken.io的同级域名。www.ken.io下的应用可以访问ken.io以及*.www.ken.io下的Cookie，但是不能访问blog.ken.io下的Cookie path:例如页面：http://ken.io/home/about 路径是/home/about，这个路径下可以访问到根路径/以及/home/*路径下的Cookie，当时不能访问到/category下的Cookie

2、传输特点

• （1）每次Request客户端符合domian以及path要求的Cookie都会通过Request Headers传输到服务器端
• （2）传输的Cookie大小会受到浏览器以及Web服务器的限制

3、安全特点

• Cookie中的信息很容易被查看，建议加密后存储
• Cookie容易被XSS攻击利用，可以设置HttpOnly=true，不允许客户端访问（99.9%的浏览器有效）

四、使用经验/建议

• 不要保存未经加密敏感信息（安全性）
• 如果不需要在客户端访问，设置HttpOnly=true（安全性）
• 设置合理的过期时间（传输效率）
• 不要存储过大的内容（传输效率）
• 不要存储过多的条目（传输效率）
• 设置合理的domian、path，减少不必要的Cookie传输（传输效率）
• 不要存储非Unicode字符（可用性）
• 不要存储不可恢复的信息（可靠性）