Question

2.7.5. Cookie

2.7.5.1. 简介

Cookie（复数形态Cookies），类型为「小型文本文件」，指某些网站为了辨别用户身份而储存在用户本地终端上的数据。

2.7.5.2. 属性

2.7.5.2.1. name

cookie的名称。

2.7.5.2.2. value

cookie的值。

2.7.5.2.3. expires

当 Expires 属性缺省时，表示是会话性 Cookie，在用户关闭浏览器时失效。

2.7.5.2.4. max-age

max-age 可以为正数、负数、0。如果 max-age 属性为正数时，浏览器会将其持久化，当 max-age 属性为负数，则表示该 Cookie 只是一个会话性 Cookie。当 max-age 为 0 时，则会立即删除这个 Cookie。Expires 和 max-age 都存在的条件下，max-age 优先级更高。

2.7.5.2.5. domain

指定Cookie的域名，默认是当前域名。domain设置时可以设置为自身及其父域，子域可以访问父域的Cookie，反之不能。

2.7.5.2.6. path

指定一个 URL 路径，这个路径必须出现在要请求的资源的路径中才可以发送对应的 Cookie。

2.7.5.2.7. secure

只能通过 HTTPS 传输。

2.7.5.2.8. httponly

限制Cookie仅在HTTP传输过程中被读取，一定程度上防御XSS攻击。

2.7.5.2.9. SameSite

SameSite 支持 Strict / Lax / None 三种值。Strict最为严格，完全禁止第三方 Cookie，跨站点时，任何情况下都不会发送 Cookie。Lax 允许部分第三方请求携带 Cookie，主要是链接、预加载、GET 表单三种情况。Cookie 的 SameSite 属性为 None ，且设置了 Secure 时，无论是否跨站都会发送 Cookie。