cookie

Cookie简介

cookie是服务器存储在用户计算机中的变量，可以让我们用同一个浏览器访问同一个域名的时共享数据。

HTTP是一种无状态协议，简单来说，当你从一个页面，然后跳转到同站点的另一个页面时，服务是无法识别这是同一个浏览器发送过来的请求。每一次的访问都是没有任何关系的。（对于服务器端来说，每一次访问都是陌生的）

cookie的出现就是为了解决以上问题的。当访问一个页面的时候，服务器在响应消息中命令浏览器在用户的计算机中存储一个字符串；浏览器再次访问同一个站点中的其他页面时，会自动把这个字符串发送给服务器，这时服务器就知道该浏览器之前访问过自己。

第一次访问一个服务器时，服务器在响应消息中命令浏览器存储一个字符串，此后浏览器向这个服务器发送的每一个请求信息都会携带这个cookie。

Cookie使用场景

• 记录用户登录信息
• 记录浏览历史信息
• 猜你喜欢

Cookie特点

• Cookie保存在用户的计算机上
• 正常设置的Cookie是不加密的，用户可以自有查看
• 用户可以删除或禁用Cookie
• Cookie能够存储的数据量很小，逐渐被localStorage替代。
• Cookie可以被篡改
• Cookie可以用于攻击（安全性低）

Cookie的基本使用

1、 安装
html npm install cookie-parser --save-prod
2、导入
html const cookieParser = require('cookie-parser');
3、设置中间件
html app.use(cookieParser());
4、设置cookie
html res.cookie('name', 'zhangsan', {maxAge: 1000 * 60 * 1, httpOnly: true});
5、获取cookie
html req.cookies.name

Cookie的配置参数

参数	说明
domain	域名，用于多个二级路由共享Cookie
expires	过期时间（秒），在设置的某个时间点后该Cookie就会失效
maxAge	最大失效时间（毫秒），在多少毫秒后失效
secure	当secure值为true时，cookie在HTTP中是无效的，在HTTPS中才有效
path	如果路径不匹配时，浏览器则不发送Cookie，默认值为 ‘/’
httpOnly	true表示只有在nodejs服务端可以操作Cookie，客户端无法用js脚本操作Cookie
singed	表示是否签名Cookie，设置为true，会对这个Cookie签名，这样就需要用res.singedCookies而不是res.cookies访问它。被篡改的cookie会被服务器拒绝，并且cookie值会被重置为它的原始值。

domain

为响应头中的Domain Set-Cookie属性指定值。默认情况下，不设置域名，大多数客户端将认为cookie仅应用于当前域。

encode

指定将用于对cookie值进行编码的函数。由于Cookie的值具有有限的字符集（并且必须是一个简单的字符串），因此该函数可用于将值编码为适合cookie值的字符串。

默认函数是全局encodeURIComponent，它将javascript字符串编码为utf-8字节序列，然后对超出cookie范围的任何内容进行URL编码。

expires

指定日期对象作为Expires Set-Cookie属性的值。默认情况下，不设置过期时间，大多数客户端将此视为“非持久性cookie”，并在退出web浏览器应用程序等条件下将其删除。

注意，cookie存储模型规范指出，如果同时设置了expires和maxAge，那么maxAge优先，但是不可能所有的客户端都遵守这一点，因此，如果同时设置了expires和maxAge，那么它们应该指向同一日期和时间。

httpOnly

指定布尔值，决定是否在Set-Cookie响应头中设置HttpOnly属性。当值为true时，则HttpOnly属性会被设置，否则不会被设置。默认情况下，不设置HttpOnly属性。

注意当设置为true时要小心，因为兼容客户端不允许客户端javascript在document.cookie中看到cookie。

maxAge

指定Max-Age Set-Cookie属性的值（毫秒）。给定的数字将通过四舍五入转换为整数。默认情况下，不设置maxAge。

注意，cookie存储模型规范指出，如果同时设置了expires和maxAge，那么maxAge优先，但是不可能所有的客户端都遵守这一点，因此，如果同时设置了expires和maxAge，那么它们应该指向同一日期和时间。

path

为Path Set-Cookie属性指定值，默认值为 “/”。

secure

为Secure，Set-Cookie属性指定布尔值。当值为true时，设置Secure属性，否则不设置。默认情况下，不设置secure属性。

注意：将此设置为true时要小心，因为如果浏览器没有https连接，客户端将来不会将cookie发送回服务器。

sameSite

sameSite属性限制了cookie的作用域，因此只有当请求是同一个站点时才会附加到这些请求。

• false，则不设置sameSite属性，cookie将只与相同的站点请求一起发送。
• true，sameSite属性会被设置成“strict”
• “strict”，则cookie将只与相同的站点请求一起发送。
• “Lax”，cookie将与相同的站点请求一起发送，并使用“跨站点”*导航。
• “none”，则cookie将与同一站点和跨站点请求一起发送。
• 如果sameSite属性的值不是这三个已知关键字，则该属性的值将被视为“none”。

加密Cookie

默认情况下，cookie的信息是以明文的方式保存在用户的浏览器本地，用户可以很轻易地看到cookie的信息。如果我们想让用户看不到cookie的明文信息，可以对cookie信息进行加密。

1、 配置中间件的使用需要传参（用于加密和解密的随机字符串）

用于签署cookie的字符串或数组。这是可选的，如果未指定，将不会分析已签名的cookie。如果提供了字符串，则将其用作**。如果提供了一个数组，则将尝试按顺序使用每个**对cookie进行签名。

const cookieParser = require(‘cookie-parser’);

app.use(cookieParser(‘123456’));

2、 设置cookie的时候配置signed参数

res.cookie(
‘user’, 
‘zhangsan’, 
{
domain: ‘example.com’, 
maxAge: 6000, 
httpOnly: true, 
signed: true
});

3、 signedCookies访问设置的cookie

console.log(req.signedCookies);