document.cookie写入cookie必须用GMT字符串格式的expires值,推荐new Date().toUTCString()转换;需显式声明path=/;值要encodeURIComponent编码、读取时decodeURIComponent解码;兼容性优先用expires而非max-age。
直接用 document.cookie 写入,但过期时间必须是 GMT 字符串格式
JavaScript 没有封装好的 setCookie 函数,所有操作都靠拼接字符串写入 document.cookie。设置过期时间的关键不是传毫秒数或日期对象,而是把 expires 的值转成符合 RFC 7231 的 GMT 时间字符串(注意不是本地时间,也不是 ISO 格式)。
-
new Date().toUTCString()是最稳妥的转换方式,new Date().toGMTString()已废弃但仍可用 - 不能写
expires=3600000或max-age=3600(后者虽是标准,但 IE 不支持) - 如果省略
expires,cookie 就是会话级(关闭浏览器即失效)
expires 和 max-age 能不能一起用?
可以写在一起,但浏览器只认其中一个:Chrome/Firefox/Safari 优先用 max-age(单位秒),IE 只认 expires。实际项目中建议只用 expires 保证兼容性,尤其还要支持旧版 Edge 或企业内网环境。
- 写法示例:
document.cookie = "token=abc123; expires=" + new Date(Date.now() + 7 * 24 * 60 * 60 * 1000).toUTCString() + "; path=/" -
path=/建议显式声明,否则默认是当前路径,容易导致读不到 - 需要 HTTPS 传输时加
Secure;防 XSS 加HttpOnly(但 JS 无法读取该 cookie)
读取 cookie 时怎么避免解析错误?
document.cookie 返回的
是一个分号+空格分隔的字符串,比如 "a=1; b=2; c=hello%20world",不能直接用 .split(';') 粗暴切割,因为值里可能含分号(虽然少见)或空格。
- 推荐用正则提取单个 cookie:
document.cookie.replace(/(?:(?:^|.*;\s*)mykey\s*\=\s*([^;]*).*$)|^.*$/, "$1") - URL 编码的值(如空格变
%20)必须用decodeURIComponent()解码,否则会出乱码 - 如果 cookie 值本身含
=或;,服务端应做额外编码(如 base64),前端对应解码
function setCookie(name, value, days) {
const d = new Date();
d.setTime(d.getTime() + days * 24 * 60 * 60 * 1000);
document.cookie = `${name}=${encodeURIComponent(value)}; expires=${d.toUTCString()}; path=/`;
}
function getCookie(name) {
const match = document.cookie.match(new RegExp((?:^|; )${name}=([^;]+)));
return match ? decodeURIComponent(match[1]) : undefined;
}
过期时间逻辑看似简单,但 toUTCString() 的时区处理、path 缺失导致读写不一致、未解码引发的中文乱码,这三个点在真实项目里反复踩坑。
