JavaScript通过document.cookie操作Cookie,需正确拼写属性(如Max-Age优先于Expires)、注意分隔符,HttpOnly只能由服务端设置,读取需解析字符串,删除需匹配原Path并设过期时间。
JavaScript 操作 Cookie 主要通过 document.cookie 这个接口,它既可读也可写,但不是直接的对象属性,而是一个特殊的字符串式 API。设置过期时间、Secure、HttpOnly、SameSite 等属性,关键在于拼写格式正确、注意分号与空格,并理解哪些属性前端能设、哪些不能(比如 HttpOnly 只能由服务端设置)。
设置 Cookie 并指定过期时间(Expires / Max-Age)
Cookie 默认是会话级的(关闭浏览器即失效),要持久化必须显式设置过期策略:
-
用
Expires:传入一个Date.toUTCString()格式的格林威治时间字符串,例如:document.cookie = "theme=dark; Expires=Fri, 31 Dec 2027 23:59:59 GMT"; -
用
Max-Age(更推荐):直接设秒数,如 7 天:document.cookie = "theme=dark; Max-Age=604800";
注意:Max-Age优先级高于Expires;若两者都写,以Max-Age为准。 - 不设过期时间 → Cookie 为会话 Cookie,仅在当前浏览器会话有效。
添加安全属性:Secure、SameSite 和 Path/Domain
这些属性用分号分隔,附加在 Cookie 字符串末尾,中间**不能有逗号或换行**,且大小写不敏感(但习惯全大写):
-
Secure:只允许通过 HTTPS 协议传输(开发时 localhost 也视为安全上下文)document.cookie = "auth=abc123; Secure; Max-Age=3600"; -
SameSite:防 CSRF,可选Lax(默认)、Strict或None;若设None,则Secure必须同时存在document.cookie = "cart=id456; SameSite=Lax; Max-Age=86400"; -
Path:限制 Cookie 在哪些路径下发送,默认是当前路径,常用Path=/让其对整个域名生效document.cookie = "lang=zh-CN; Path=/; Max-Age=2592000"; -
Domain:指定可共享 Cookie 的域名(含子域),如Domain=.example.com→ 对app.example.com和api.example.com都有效(注意开头的点)
HttpOnly 属性无法通过 JavaScript 设置
HttpOnly 是服务端响应头中设置的安全标识,用于禁止 JavaScript 访问该 Cookie(防止 XSS 泄露),因此:
✅ 服务端可设:Set-Cookie: sessi
onid=xxx; HttpOnly; Secure; SameSite=Lax
❌ 前端 JS 执行 document.cookie = "...; HttpOnly" 会被浏览器忽略,且不会报错。
读取和删除 Cookie 的注意事项
读取时 document.cookie 返回一个分号+空格分隔的字符串(如 "a=1; b=2; c=3"),需手动解析;删除则是设一个已过期的 Expires:
- 删除示例:
document.cookie = "theme=; Expires=Thu, 01 Jan 1970 00:00:00 GMT; Path=/";
(值为空 + 过期时间 + 匹配原设置的Path和Domain才能覆盖删除) - 建议封装工具函数处理读写,避免每次手动拼接;现代项目更推荐用
localStorage存非敏感数据,敏感凭证交由HttpOnlyCookie 管理。
