Cookie的HttpOnly、secure、domain屬性

Cookie主要屬性

Cookie主要屬性：

• path
• domain
• max-age
• expires:是expires的補充，現階段有兼容性問題：IE低版本不支持，因此通常不單獨使用
• secure
• httponly
  • JS不能讀寫HttpOnly Cookie
• 屬性之間使用英文分號和空格（"; "）鏈接

瀏覽器存放cookie包含的字段：

• name、value
• expiry-time：由Cookie中的expires和max-age產生
• domain、path
• creation-time、last-access-time
• persistent-flag：持久化標記，默認爲false，表示是session cookie
• secure-only-flag
• http-only-flag
• host-only-flag:Cookie中不包含Domain屬性或者Domain爲空或者不合法時爲true。

HttpOnly屬性——防止程序獲取cookie後進行攻擊

• 若是Cookie中設置了HttpOnlhy屬性，那麼經過程序（JS腳本、Applet等）將沒法讀取到Cookie信息，能有效的防止XSS攻擊。

Secure——防止信息傳輸過程當中的泄露

• true —— 只能在HTTPS鏈接中傳輸，HTTP鏈接不會傳輸，因此不會被竊取到Cookie的具體內容
• false —— HTTP、HTTPS鏈接均可以傳輸

domain域名帶.與否的區別

• 若domain不帶點，只有當前域名的服務器能夠獲取到cookie，子域名拿不到cookie
• 若domain帶點，當前域名&子域名均可以拿到cookie
• Chrome——若是顯示聲明，無論domain帶不帶點，都是帶點存儲；只有非顯示聲明domain的cookie，瀏覽器存儲纔是不帶點

Session Cookie

• Session Cookie是沒有expiry date的，會話結束也會一併刪除。