Day28【Web】网页的号码牌：Cookie

无状态的 HTTP

浏览网页常用的 HTTP（超文本传输协定）
是一种无状态协定。
也就是收到请求就建立连结，
请求完後就断开连结将资源释放出来。

HTTP 只看请求的内容，
而不纪录客户端的「状态」，
从任何客户端发来的请求都一视同仁，
仅做出对请求对应的回覆。

纪录使用者样态的 Cookie

随着网路交互活动变得复杂，
客户端需要与服务器保持长期连线与互动，
程序设计师 Lou Montulli
在 1993 年发明了「cookie」，
也就是一小段纪录客户端状态的文字档案。

这段资讯会在客户拜访网站时由服务器产生发送，
并由收到的浏览器负责储存起来，
以便下次拜访网站时使用。

cookie 就像号码牌或置物柜钥匙，
是一个验证身分的标志，
有了这个 cookie，
我们就能在下次拜访同样网站时，
取得 cookie 上纪录所对应的内容。

cookie 不但能让我们取得客制化讯息，
更可以提高网站的访问速度、
减少需要人工填写的栏位，
为网站互动提供更多便利性。

不过随着网路技术发展，
cookie 也渐渐带来危害与滥用，
导致个人隐私外泄、
大量垃圾讯息等问题。

各浏览器与服务器平台
目前也都在加强 cookie 安全性，
如使用签章过的 Signed Cookie，
或尝试寻找比 cookie 更好的替代方案。

cookie 的组成

cookie 内包含以下属性

• name=value（必要）
  • 使用 cookie 时可用 name 来获取对应的 value 内容，name 和 value 皆为纯文字，若包含特殊字元时必须使用跳脱字元（Escape Character）换成对应字码。
• expires=date（选项）
  • cookie 的有效期限，预设值为浏览器结束执行的同时到期。
• path=path（选项）
  • 设定可读取 cookie 的（最上层）目录，预设值为建立该 cookie 的网页目录及其子目录。
• domain=domain（选项）
  • 设定可读取 cookie 的网域，预设为仅能由设定该 cookie 的网页站台读取。
• secure（选项）
  • 设定是否用加密的方式来传输 cookie，预设使用无加密的 HTTP。

参考资料：

• [不是工程师] Cookie 是文档还是饼乾？简述HTTP网页纪录会员资讯的一大功臣。
• Cookies 的处理
• HTTP cookies | MDN