概要
http cookie用于在http客户端存储信息,用于存储用户会话id,认证token等
通过服务器端返回的Set-Cookie头部来设置客户端的cookie
客户端在发起请求时,浏览器会通过Cookie头部自动携带符合要求的cookie, 只有cookie的domain和path和请求的url匹配时,才会自动发送;客户端发送时,仅会发送cookie1=value1;cookie2=value1,而不会发送cookie的其他属性
HTTP State Management Mechanism (rfc 6265原文)
格式
cookie1=value1; expires=date1; Max-Age=n; Path=path1; domain=domain1;HttpOnly;Security
当Max-Age和expires同时被设置时,以Max-Age为准;另外cookie的过期时间是以客户端的时间为准的
HttpOnly 要求javascript不可以访问该cookie, 仅在客户端向服务器请求页面时,才可以发送该cookie
HttpOnly要求仅在使用了https或者其他的加密协议后,才可以发送cookie