javascript中的Cookie是什么_如何安全地使用它

Cookie是HTTP协议的一部分，由服务器通过Set-Cookie下发、浏览器自动存取，最大约4KB；JavaScript仅能通过document.cookie操作非HttpOnly Cookie，本质为字符串操作，需注意编码、路径、域名、Secure及安全配置。

Cookie 是浏览器保存在用户本地的一小段文本数据，最大约 4KB，用于在客户端维持状态。它不是 JavaScript 发明的，而是 HTTP 协议的一部分——服务器通过 Set-Cookie 响应头下发，浏览器自动存储，并在后续同域请求中回传。JavaScript 通过 document.cookie 可读写（仅限非 HttpOnly 的 Cookie），但本质是操作字符串，不提供原生对象接口。

Cookie 的基本结构和设置方式

每次赋值 document.cookie 都只能写入一个键值对，多个属性用分号分隔：

• 必需项：key=value，如 theme=dark；中文或特殊字符必须用 encodeURIComponent() 编码
• 过期时间：不设 expires 或 max-age 就是会话 Cookie，关浏览器即失效；设了才是持久化 Cookie
• 路径（path）：默认为当前页面路径，设 path=/ 才能在整个域名下访问
• 域名（domain）：如设 domain=.example.com，则 a.example.com 和 b.example.com 都能读取
• Secure：只在 HTTPS 下发送，HTTP 页面设了也无效，且不会被浏览器保存

如何安全地读取和删除 Cookie

读取时 document.cookie 返回的是一个长字符串，格式类似 "a=1; b=2; c=3"，需手动解析：

• 推荐封装一个 getCookie(name) 函数，用 split('; ') 拆分后逐个匹配 key，并用 decodeURIComponent() 解码 value
• 删除 Cookie 的本质是“覆盖”：把同名 Cookie 的 expires 设为过去时间，例如 Thu, 01 Jan 1970 00:00:00 GMT
• 删除时必须确保 path 和 domain 与当初设置时完全一致，否则删不掉

关键安全风险和应对措施

Cookie 不是保险箱，直接存密码、token 或敏感 ID 非常危险：

标签： javascript java js 前端 cookie 编码 浏览器 session 后端 ai 键值对