从0到1，深入了解Cookie，SessionStorage和LocalStorage

本文链接：https://blog.youkuaiyun.com/weixin_41174502/article/details/105804486

1.Cookie

什么是Cookie?其作用？
Cookie的工作机制
Cookie的内容

HTTP协议本身是无状态的，而服务器端的业务必须是要有状态的。所以Cookie诞生的最初目的是为了存储web中的状态信息，以方便服务器端使用。无状态的意思就是服务器无法判断用户身份。Cookie实际上是一小段的文本信息（key-value格式）。客户端向服务器发起请求，如果服务器需要记录该用户状态，就使用response向客户端浏览器颁发一个cookie，客户端浏览器会把cookie保存起来，当浏览器再请求该网站时，浏览器把请求的网址连同该cookie一同提交给服务器。服务器检查该cookie，以此来辨认用户状态。

Cookie机制：

当用户第一次访问并登录一个网站的时候，cookie的设置以及发送会经历一下4个步骤：

客户端发送一个请求到服务器=>服务器发送一个HTTP Response响应到客户端，其中包含Set-Cookie的头部=>客户端保存cookie，之后向服务器发送请求时，HTTP Request请求会包含一个cookie的头部=>服务器返回响应数据

Cookie内容：

打开控制台，查看某网站的cookie：

Name=Value：cookie名称和对应的值，注意这里的NAME不能和其他属性项的名字一样

Domain：生成该Cookie的域名。Cookie是不可以跨域名的，隐私安全机制禁止网站非法获取其他网站的Cookie。正常情况下，同一个一级域名下的两个二级域名也不能交互使用Cookie

Path：表示这个cookie影响到的路径，浏览器跟会根据这项配置，向指定域中匹配的路径发送cookie。当设置为‘/’时，表示所有路径都可以使用该cookie。

Expired/Max-Age：有效时间，在设置的某个时间后该cookie就会失效。其中Max-Age为负数表示该cookie只是一个临时cookie，不会被持久化，仅在本浏览器窗口或者本窗口打开的子窗口中有效，关闭该浏览器后该cookie立即失效；当Max-Age为-1时，时间已经过期；Max-Age为0时，表示立即删除cookie。

Size：cookie的大小（单位）

HTTPOnly：告知浏览器不允许通过脚本document.cookie去更改这个值，同样这个值在document.cookie中也不可见。但在http请求仍然会携带这个cookie。注意这个值虽然在脚本中不可获取，但仍然在浏览器安装目录中以文件形式存在。这项设置通常在服务器端设置。

Secure：安全标志，指定后，只有在使用SSL连接时候才能发送到服务器，如果是http链接则不会传递该信息。就算设置了secure 属性也并不代表他人不能看到你机器本地保存的 cookie 信息，所以不要把重要信息放cookie就对了服务器端设置