JavaScript操作Cookie及设置过期时间与安全属性

本文深入解析了JavaScript操作Cookie的核心要点，涵盖如何通过document.cookie安全地设置、读取和删除Cookie，重点讲解了Max-Age与Expires的优先级关系、Secure/SameSite/Path/Domain等关键安全属性的正确写法与使用场景，并明确指出HttpOnly只能由服务端设置、前端无法绕过这一重要安全限制；同时提醒开发者注意字符串拼接规范、路径匹配要求及会话Cookie的默认行为，最后给出实用建议——敏感数据应交由HttpOnly Cookie保护，非敏感信息优先考虑localStorage，帮助前端工程师在真实项目中规避常见陷阱、提升应用安全性与健壮性。

JavaScript 操作 Cookie 主要通过 document.cookie 这个接口，它既可读也可写，但不是直接的对象属性，而是一个特殊的字符串式 API。设置过期时间、Secure、HttpOnly、SameSite 等属性，关键在于拼写格式正确、注意分号与空格，并理解哪些属性前端能设、哪些不能（比如 HttpOnly 只能由服务端设置）。

设置 Cookie 并指定过期时间（Expires / Max-Age）

Cookie 默认是会话级的（关闭浏览器即失效），要持久化必须显式设置过期策略：

• 用 Expires：传入一个 Date.toUTCString() 格式的格林威治时间字符串，例如：
  document.cookie = "theme=dark; Expires=Fri, 31 Dec 2027 23:59:59 GMT";
• 用 Max-Age（更推荐）：直接设秒数，如 7 天：
  document.cookie = "theme=dark; Max-Age=604800";
  注意：Max-Age 优先级高于 Expires；若两者都写，以 Max-Age 为准。
• 不设过期时间 → Cookie 为会话 Cookie，仅在当前浏览器会话有效。

添加安全属性：Secure、SameSite 和 Path/Domain

这些属性用分号分隔，附加在 Cookie 字符串末尾，中间**不能有逗号或换行**，且大小写不敏感（但习惯全大写）：

• Secure：只允许通过 HTTPS 协议传输（开发时 localhost 也视为安全上下文）
  document.cookie = "auth=abc123; Secure; Max-Age=3600";
• SameSite：防 CSRF，可选 Lax（默认）、Strict 或 None；若设 None，则 Secure 必须同时存在
  document.cookie = "cart=id456; SameSite=Lax; Max-Age=86400";
• Path：限制 Cookie 在哪些路径下发送，默认是当前路径，常用 Path=/ 让其对整个域名生效
  document.cookie = "lang=zh-CN; Path=/; Max-Age=2592000";
• Domain：指定可共享 Cookie 的域名（含子域），如 Domain=.example.com → 对 app.example.com 和 api.example.com 都有效（注意开头的点）

HttpOnly 属性无法通过 JavaScript 设置

HttpOnly 是服务端响应头中设置的安全标识，用于禁止 JavaScript 访问该 Cookie（防止 XSS 泄露），因此：
✅ 服务端可设：Set-Cookie: sessionid=xxx; HttpOnly; Secure; SameSite=Lax
❌ 前端 JS 执行 document.cookie = "...; HttpOnly" 会被浏览器忽略，且不会报错。

读取和删除 Cookie 的注意事项

读取时 document.cookie 返回一个分号+空格分隔的字符串（如 "a=1; b=2; c=3"），需手动解析；删除则是设一个已过期的 Expires：

• 删除示例：
  document.cookie = "theme=; Expires=Thu, 01 Jan 1970 00:00:00 GMT; Path=/";
  （值为空 + 过期时间 + 匹配原设置的 Path 和 Domain 才能覆盖删除）
• 建议封装工具函数处理读写，避免每次手动拼接；现代项目更推荐用 localStorage 存非敏感数据，敏感凭证交由 HttpOnly Cookie 管理。

今天关于《JavaScript操作Cookie及设置过期时间与安全属性》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！