什么是cookie

cookie，即小餅干，是保存在用戶代理端（瀏覽器是最常見的用戶代理）的一些數(shù)據(jù)片段。瀏覽網(wǎng)頁時(shí)，瀏覽器會(huì)將 當(dāng)前頁面有效的 cookie放在請求的頭部發(fā)送到服務(wù)端。

cookie組成

cookie由以下幾部分組成：

domain，cookie所屬的域名。瀏覽器發(fā)送cookie時(shí)，會(huì)檢查cookie所屬的域名，相符才會(huì)發(fā)送。瀏覽器會(huì)將tlanyan.me域下的cookie發(fā)送到www.tlanyan.me或者dev.tlanyan.me的頁面請求中，但不會(huì)發(fā)送給www.baidu.com。同樣，dev.tlanyan.me的cookie不能發(fā)送給tlanyan.me，因?yàn)橄薅擞蛎麨閐ev子域。

path，cookie所屬路徑。設(shè)置為/author中的cookie不會(huì)發(fā)送到/category路徑下，但是設(shè)置路徑為/的cookie會(huì)發(fā)送到所有頁面請求。

name, cookie的名稱（鍵名）。

value， cookie的值（內(nèi)容）。

expires，過期時(shí)間。

secure，是否僅在https時(shí)才會(huì)傳送該cookie。

httponly，是否只用作http傳遞用。當(dāng)設(shè)置為true時(shí)，瀏覽器端的腳本語言將無法訪問到該cookie。

cookie的用途

cookie主要用在以下方面：

http是無狀態(tài)的協(xié)議，為了維持會(huì)話需要額外的數(shù)據(jù)做標(biāo)記，cookie是最常用的手段。常見的PHPSESSID和JSESSIONID這兩類cookie，分別用在PHP和Java web應(yīng)用中維持會(huì)話。

有些數(shù)據(jù)需要存放在客戶端，cookie是一種選擇。用戶勾選“下次不再提示”后，該標(biāo)志可保存到客戶端，再次訪問程序讀取設(shè)定再?zèng)Q定是否顯示。隨著HTML 5的普及，這部分功能正慢慢被localStorage取代。

PHP端的cookie操作

讀取cookie可以通過$_COOKIE超全局變量讀取到用戶端傳來的所有cookie。$_COOKIE是一個(gè)數(shù)組，可以遍歷讀取發(fā)送過來的cookie的名稱和值。瀏覽器只發(fā)送了cookie的鍵值到服務(wù)端，故而無法讀取到cookie的domain/path/exipres等信息，因?yàn)椤?/p>

PHP提供了setcookie函數(shù)來發(fā)送cookie到客戶端。setcookie的函數(shù)簽名是：

bool setcookie ( string $name [, string $value = "" [, int $expire = 0 [, string $path = "" [, string $domain = "" [, bool $secure = false [, bool $httponly = false ]]]]]] )

參數(shù)與cookie的組成內(nèi)容相對應(yīng)： expires默認(rèn)為0，表示僅當(dāng)前會(huì)話有效，用戶關(guān)閉瀏覽器后該cookie將被清除；path默認(rèn)為當(dāng)前頁面路徑，即網(wǎng)址最后一個(gè)反斜杠前的部分；domain默認(rèn)為當(dāng)前頁面的域名，如果要擴(kuò)大使用范圍，可設(shè)置為父級域名或者頂級域名； httponly默認(rèn)為false，建議設(shè)置為true避免XSS攻擊。

刪除cookie，只需要設(shè)置cookie的expires為過去的時(shí)間戳即可，例如 time() – 3600。所以要?jiǎng)h除foo這個(gè)cookie，代碼可以為

setcookie('foo', '', time() - 3600);

cookie的良好實(shí)踐

從cookie字面意思便可看出，保存的是數(shù)據(jù)片段。web開發(fā)中cookie使用的頻率比較高，應(yīng)該多加以理解。以下是一些使用cookie的良好實(shí)踐：

不應(yīng)該在cookie中保存過大和過多的數(shù)據(jù)；
cookie在客戶端和傳輸中是明文可見的，不應(yīng)該在cookie中保存敏感信息；
為了站點(diǎn)和用戶安全，盡可能將cookie的httponly屬性設(shè)置為true；
cookie是客戶端完全控制的，也屬于外部輸入，服務(wù)端不可盲目相信，應(yīng)對其進(jìn)行過濾。
其他

cookie是隨請求發(fā)送而來，隨響應(yīng)而設(shè)置到客戶端。理解了這個(gè)過程，就可以明白一些新手常見的問題，例如以下代碼：

if (!isset($_COOKIE['foo']) {
   setcookie('foo', 'foobar');
 } 
 $foo = $_COOKIE['foo'];

在未設(shè)置foo這個(gè)cookie的情況下，第5行運(yùn)行會(huì)出錯(cuò)。原因在于setcookie是設(shè)置本次響應(yīng)的cookie信息，需要瀏覽器接收到響應(yīng)并設(shè)置后，才能在后續(xù)的請求中附帶上該cookie，并沒有反應(yīng)到本次請求上。

同理，cookie存在于請求和響應(yīng)的頭部信息中，而頭部應(yīng)該在請求正文之前，所以setcookie的函數(shù)上下文使用限制同header函數(shù)，即：在此之前不能已經(jīng)發(fā)送過響應(yīng)正文。