NetWork函数-setcookie

1、setcookie ( string $name [, string $value = "" [, int $expire = 0 [, string $path = "" [, string$domain = "" [, bool $secure = false [, bool $httponly = false ]]]]]] ) : bool

发送 Cookie

setcookie() 定义了 Cookie，会和剩下的 HTTP 头一起发送给客户端。 和其他 HTTP 头一样，必须在脚本产生任意输出之前发送 Cookie（由于协议的限制）。 请在产生任何输出之前（包括 <html> 和 <head> 或者空格）调用本函数。

一旦设置 Cookie 后，下次打开页面时可以使用 $_COOKIE 读取

参数：

跳过某个参数时可以使用'',但是过期时间为数字格式必须使用0跳过

name：Cookie 名称。

value：Cookie 值。 这个值储存于用户的电脑里，请勿储存敏感信息。 比如 name 是 'cookiename'， 可通过  $_COOKIE['cookiename']获取它的值。

expire：Cookie 的过期时间。 这是个 Unix 时间戳，秒数。 也就是说，基本可以用 time()函数的结果加上希望过期的秒数。 或者也可以用 mktime()。time()+60*60*24*30 就是设置 Cookie 30 天后过期。 如果设置成零，或者忽略参数， Cookie 会在会话结束时过期（也就是关掉浏览器时）。
这就是为什么当你登录一个 Web应用时经常 会看到一个复选框，询问你是否记住登录信息：如果你勾选了复选框，
那么一个 expires 选项会被附加到登录 cookie 中。如果 expires 设置了一个过去的时间点，那么这个 cookie 会被立即删掉。

path：Cookie 有效的服务器路径。 设置成 '/' 时，Cookie 对整个域名 domain 有效。 如果设置成 '/foo/'， Cookie 仅仅对 domain 中 /foo/ 目录及其子目录有效（比如 /foo/bar/）。 默认值是设置 Cookie 时的当前目录。

另一个控制 Cookie 消息头发送时机的选项是 path 选项，和 domain 选项类似，path选项指定了请求的资源 URL 中必须存在指定的路径时(从域名之后算起)，才会发送Cookie 消息头。这个比较通常是将 path 选项的值与请求的 URL 从头开始逐字符比较完成的。如果字符匹配，则发送 Cookie 消息头，例如：Set-Cookie:name=Nicholas;path=/blog
在这个例子中，path 选项值会与 /blog，/blogrool 等等相匹配；任何以 /blog 开头的选项都是合法的。需要注意的是，只有在 domain 选项核实完毕之后才会对 path 属性进行比较。path 属性的默认值是发送 Set-Cookie 消息头所对应的 URL 中的 path 部分。

domain：Cookie 的有效域名/子域名。 设置成子域名（例如 'www.example.com'），会使 Cookie 对这个子域名和它的三级域名有效（例如 w2.www.example.com）。 要让 Cookie 对整个域名有效（包括它的全部子域名），只要设置成域名就可以了（这个例子里是 'example.com'）。

指定了 cookie 将要被发送至哪个或哪些域中。默认情况下，domain会被设置为创建该 cookie 的页面所在的域名，所以当给相同域名发送请求时该 cookie 会被发送至服务器。
例如，本博中 cookie 的默认值将是 bubkoo.com。domain 选项可用来扩充 cookie 可发送域的数量，

例如：Set-Cookie: name=Nicholas; domain=nczonline.net
像 Yahoo! 这种大型网站，都会有许多 name.yahoo.com 形式的站点（例如：my.yahoo.com, finance.yahoo.com 等等）。将一个 cookie 的 domain 选项设置为 yahoo.com，就可以将该 cookie 的值发送至所有这些站点。浏览器会把 domain 的值与请求的域名做一个尾部比较（即从字符串的尾部开始比较），并将匹配的 cookie 发送至服务器。
domain 选项的值必须是发送 Set-Cookie 消息头的主机名的一部分，例如我不能在 google.com 上设置一个 cookie，因为这会产生安全问题。不合法的 domain 选择将直接被忽略。

情景：兑吧接口对接中，漂流侠设置成域名访问地址时，接口可以获取到cookie（user_id），ip访问时获取不到cookie

secure：设置这个 Cookie 是否仅仅通过安全的 HTTPS 连接传给客户端。 设置成 TRUE 时，只有安全连接存在时才会设置 Cookie。 如果是在服务器端处理这个需求，程序员需要仅仅在安全连接上发送此类 Cookie （通过$_SERVER["HTTPS"] 判断）。

不像其它选项，该选项只是一个标记而没有值。只有当一个请求通过 SSL 或 HTTPS 创建时，包含 secure 选项的 cookie 才能被发送至服务器。这种 cookie 的内容具有很高的价值，如果以纯文本形式传递很有可能被篡改，

例如：Set-Cookie: name=Nicholas; secure
事实上，机密且敏感的信息绝不应该在 cookie 中存储或传输，因为 cookie 的整个机制原本都是不安全的。默认情况下，在 HTTPS 链接上传输的 cookie 都会被自动添加上 secure 选项。

httponly：设置成 TRUE，Cookie 仅可通过 HTTP 协议访问。 这意思就是 Cookie 无法通过类似 JavaScript 这样的脚本语言访问。 HTTP-Only 背后的意思是告之浏览器该 cookie 绝不能通过 JavaScript 的 document.cookie 属性访问。设计
该特征意在提供一个安全措施来帮助阻止通过 JavaScript 发起的跨站脚本攻击 (XSS) 窃取 cookie 的行为.
要创建一个 HTTP-Only cookie，只要向你的 cookie 中添加一个 HTTP-Only 标记即可：
Set-Cookie: name=Nicholas; HttpOnly
一旦设定这个标记，通过 documen.coookie 则不能再访问该 cookie。IE 同时更近一步并且不允许通过 XMLHttpRequest 的 getAllResponseHeaders() 或 getResponseHeader() 方法访问 cookie，然而其它浏览器则允许此行为。你不能通过 JavaScript 设置 HTTP-only，因为你不能再通过 JavaScript 读取这些 cookie，这是情理之中的事情。

注意避坑：

（1）在页面（ Cookie 可见的页面）下次刷新前，Cookie 不会生效。 测试 Cookie 是否已经成功设置，需要在下次页面加载时、Cookie 过期前检测。(第一次有Response  Headers 有

Set-Cookie:userinfo=%E8%B1%86%E8%B1%86%2C%E7%94%B7%2C20%E5%B2%81; expires=Wed, 06-Mar-2019 16:37:41 GMT; Max-Age=86400; path=/，

但Request Headers没有Cookie，第二次请求会有，类似 userinfo=%E8%B1%86%E8%B1%86%2C%E7%94%B7%2C20%E5%B2%81)

（2）为同一个参数再次设置 Cookie 前，必须先把它删掉。 如果参数的值是空 string 或 FALSE，并且其他参数和上次调用 setcookie 仍旧一样， 则指定的名称会被远程客户端删除。

（3）因为设置值成 FALSE 会导致 Cookie 被删除，所以要避免使用布尔值。 代替方式：0 是 FALSE，1 是 TRUE

$value = 'something from somewhere';

setcookie("TestCookie", $value);
setcookie("TestCookie", $value, time()+3600);  /* 1 小时过期  */
setcookie("TestCookie", $value, time()+3600, "/~rasmus/", "example.com", 1);

//要删除一个 Cookie，应该设置过期时间为过去，以触发浏览器的删除机制。
setcookie("TestCookie", "", time() - 3600);