怎么使用Cookie?
通常我們有兩種方式給瀏覽器設置或獲取Cookie,分別是HTTP Response Headers中的Set-Cookie Header和HTTP Request Headers中的Cookie Header,以及通過JavaScript對document.cookie進行賦值或取值。
rfc6265第5.2節定義的Set-Cookie Header,除了必須包含Cookie正文,還可以選擇性包含6個屬性path、domain、max-age、expires、secure、httponly,它們之間用英文分號和空格("; ")連接。
Cookie的正文部分,是由&連接的key=value鍵值對字符串,類似於url中的查詢字符串。下面是一個標准的Set-Cookie Header:
在瀏覽器端,通過document.cookie也可以設置Cookie,以MDC文檔為例,Cookie的內容除了必須包含正文之外,還可選5個屬性:path、domain、max-age、expires、secure。下面是簡單的示例:
有兩點需要說明:
- max-age作為對expires的補充,現階段有兼容性問題(IE低版本不支持),所以一般不單獨使用;
- JS中設置Cookie和HTTP方式相比較,少了對HttpOnly的控制,是因為JS不能讀寫HttpOnly Cookie;
我在各瀏覽器測試后發現, 如果不考慮HttpOnly,通過JS或HTTP方式設置的Cookie沒有區別;通過JS或HTTP方式獲取到的Cookie內容也是一樣的。所以本文后續測試中,不需要注明是通過何種方式操作的Cookie。
什么是HostOnly Cookie?
rfc6265第5.3節定 義了瀏覽器存放每個Cookie時應該包括這些字段:name、value、expiry-time、domain、path、creation- time、last-access-time、persistent-flag,、host-only-flag、secure-only-flag和 http-only-flag。
其中:
- name、value:由Cookie正文指定;
- expiry-time:根據Cookie中的expires和max-age產生;
- domain、path:分別由Cookie中的domain和path指定;
- creation-time、last-access-time:由瀏覽器自行獲得;
- persistent-flag:持久化標記,在expiry-time未知的情況下為false,表示這是個session cookie;
- secure-only-flag:在Cookie中包含secure屬性時為true,表示這個cookie僅在https環境下才能使用;
- http-only-flag:在Cookie中包含httponly屬性時為true,表示這個cookie不允許通過JS來讀寫;
- host-only-flag:在Cookie中不包含Domain屬性,或者Domain屬性為空,或者Domain屬性不合法(不等於頁面url中的Domain部分、也不是頁面Domain的大域)時為true。此時,我們把這個Cookie稱之為HostOnly Cookie;
那么host-only-flag如果為true會怎樣呢?rfc6265里有這么一段:
Either: The cookie's host-only-flag is true and the canonicalized request-host is identical to the cookie's domain.
Or: The cookie's host-only-flag is false and the canonicalized request-host domain-matches the cookie's domain.
獲取Cookie時,首先要檢查Domain匹配性,其次才檢查path、secure、httponly等屬性的匹配性。如果host- only-flag為true時,只有當前域名與該Cookie的Domain屬性完全相等才可以進入后續流程;host-only-flag為 false時,符合域規則(domain-matches)的域名都可以進入后續流程。
舉個例子,host-only-flag為true時,Domain屬性為example.com的Cookie只有在example.com才有 可能獲取到;host-only-flag為false時,Domain屬性為example.com的Cookie,在example.com、 www.example.com、sub.example.com等等都可能獲取到。
下面,我們來研究下各瀏覽器對HostOnly Cookie,也就是Cookie的host-only-flag屬性的支持情況。
支持度測試
在qgy18.com,設置如下HostOnly Cookie:
訪問www.qgy18.com,獲取Cookie,結果如下:
| 瀏覽器 | 在www.qgy18.com獲取到的Cookie |
|---|---|
| Chrome 29.0.1547.3 dev | |
| Firefox 22.0 | |
| Chrome 27.0.1453.116 m | |
| IE 6.0.2900.5512 | name=ququ |
| IE 10.0.9200.16438 | name=ququ |
| Opera 12.15(Presto內核,非Webkit) | |
| iOS Safari 6.1.3 | |
| Safari 7.0 |
小結:
IE系列(表中只列了IE6和10,實際上IE6-IE10都測過)不支持HostOnly Cookie。在qgy18.com設置的Cookie,www.qgy18.com可以直接獲取到。
其它瀏覽器支持HostOnly Cookie。本測試中,對於非IE:獲取Cookie的頁面Domain是www.qgy18.com,由於設置Cookie時沒有指定Domain, 按照前面的規則,host-only-flag為true,Cookie的Domain屬性是qgy18.com,二者不完全匹配,所以獲取不到這個 Cookie。
對於非HostOnly Cookie,例如在qgy18.com設置Cookie時指定Domain為qgy18.com,在www.qgy18.com可以獲取到這個Cookie,這時候host-only-flag為false。
Cookie覆蓋測試
在www.qgy18.com,設置以下3條Cookie:
、name=ququ2; expires=Tue, 10-Jul-2013 08:30:18 GMT; path=/; domain=.www.qgy18.com
、name=ququ3; expires=Tue, 10-Jul-2013 08:30:18 GMT; path=/; domain=www.qgy18.com
訪問www.qgy18.com,獲取Cookie,結果如下:
| 瀏覽器 | 在www.qgy18.com獲取到的Cookie |
|---|---|
| Chrome 29.0.1547.3 dev | name=ququ1; name=ququ3 |
| Firefox 22.0 | name=ququ1; name=ququ3 |
| Chrome 27.0.1453.116 m | name=ququ1; name=ququ3 |
| IE 6.0.2900.5512 | name=ququ3 |
| IE 10.0.9200.16438 | name=ququ3 |
| Opera 12.15(Presto內核,非Webkit) | name=ququ3 |
| iOS Safari 6.1.3 | name=ququ3; name=ququ1 |
| Safari 7.0 | name=ququ3; name=ququ1 |
規范里有兩點規定需要先說明下:
- 設置Cookie時,Domain屬性值如果是.a.com,前面的.會被去掉,變成a.com(rfc6265第5.2.3節);
- 對於name、path和domain均相同的Cookie,后面的覆蓋前面的(rfc6265第5.3節第10段);
小結:
由於IE系列不支持HostOnly Cookie,三個語句對於IE來說是完全一樣的(1沒有指定Domain,自動使用請求頭中的Host或者頁面url中的Domain部分作為 Cookie的Domain屬性,都是www.qgy18.com),后面覆蓋前面,只剩下name=ququ3;
分歧出在Presto內核的Opera與Chrome、Safari和Firefox之間:Opera認為三個語句的name、path和 domain均相同,產生了跟IE一樣的結果;其它瀏覽器認為host-only-flag為true的Domain和其它兩個不同,所以只有語句3可以 覆蓋2,剩下1和3;
從各自控制台展示的Cookie信息印證了這一點:
Chrome、Safari和Firefox都把HostOnly Cookie的Domain顯示為真正的Domain,非HostOnly Cookie的Domain前面多加了一個英文句號.。這樣,前面的結果似乎也解釋得過去:對於Chrome、Safari和Firefox,由於.的存 在,第1條語句的Domain和其它兩個確實不一樣,不會被覆蓋。
(Chrome 29.0.1547.3 dev)
(Firefox 22.0 )
(Safari 7.0)
(Opera 12.15 )
(IE 10.0.9200.16438 )
大家應該注意到了:本節測試中,Safari獲取到的Cookie順序與其它瀏覽器不一樣。這是個大隱患,無論是用JS還是HTTP獲取這個Demo里的Cookie,都會在Safari下得到不一樣的結果。Cookie的優先級問題我打算找時間詳細測試下,再單獨討論。
結論
在我測試過的瀏覽器中:
- 除開IE,Chrome/Firefox/Safari/Opera都支持HostOnly Cookie,可以限制Cookie只有在Domain完全匹配時才可用;
- Opera的HostOnly Cookie會被domain、path和name相同的非HostOnly Cookie覆蓋;
- Chrome/Firefox/Safari中,非HostOnly Cookie的Domain屬性前面多了一個.,與沒有.的HostOnly Cookie不存在覆蓋的可能;
- 同名Cookie優先級存在瀏覽器差異,實際項目中應該避免出現同名Cookie;
之前有同學問過Chrome開發工具看到的Cookie為什么有些前面有.,有些沒有?經過前面的分析,大家應該都知道原因了吧。
另外,想不通為什么host-only-flag,沒有像http-only-flag或secure-only-flag一樣,有對應的屬性可以直接設置呢?