cookie笔记

cookie本质上也是请求头（即header），只是名为cookie

请求头不能有中文，所以cookie中也不能有中文，否则会报错Error: Invalid character in header content ["Cookie"]

cookie有长度限制，各浏览器长度限制不一样，所以较长的内容一般放在Local Storage

image.png

同一个域下的cookie数量也有限制

前端调用后端接口时，默认会把接口的域及父域下的cookie传给后端。
比如接口的域是mall.crazyboy.com，父域是crazy.com，默认会把mall.crazyboy.com和crazy.com这两个域下的cookie传给后端

cookie默认上传的这个特性，有时候会导致问题。
本菜遇到过一次请求异常，参数检查没问题，就是因为传了多余的cookie。
下图为使用postman时，查看/编辑默认上传的cookie

image.png

使用cookie或其他请求头传token有什么区别
有的浏览器禁用cookie，只能在其他请求头（比如Authorization）传token，所以后端拦截器一般会同时在cookie和特定请求头中检查token

image.png

为什么不全都用其他请求头传token
有些场景无法指定请求头，比如img标签，<img src='xxx'></img>这种方式请求图片，无法指定请求头，只能利用cookie默认上传的特性，携带token

chrome控制台cookie的Expires/Max-age是用UTC时间展示，所以会比实际时间早8小时，下图的cookie实际过期时间是17:44:20，所以我们对cookie设置expires的时候，也要用UTC时间

image.png
关于GMT UTC CST等时间格式，详见https://www.jianshu.com/p/7acb500ec572

chrome可以手动添加cookie，并且可以设置domain（正常来说无法跨域写cookie），做爬虫功能时可能需要这样操作

image.png

cookie的HttpOnly属性可以增加安全性，HttpOnly为true时，该cookie不能通过js代码获取，只有在发起请求的时候自动带上。
比如下图的SESSION，request headers中可以看到，但是document.cookie无法获取

image.png image.png

cookie与localStorage，cookie会自动携带到后端，localStorage则不会。
可以把部分数据放在localStorage，按需携带，提高安全性。