登录
首页 >  文章 >  前端

Node.js设置与读取Cookie方法详解

时间:2025-09-21 15:14:44 447浏览 收藏

Node.js操作Cookie,关键在于理解HTTP请求头和响应头。不同于浏览器端直接操作`document.cookie`,Node.js需要在服务器端借助如Express等Web框架,并配合`cookie-parser`中间件简化流程。通过`res.cookie()`设置Cookie,`req.cookies`读取Cookie,`res.clearCookie()`清除Cookie。务必重视Cookie的安全性,配置`httpOnly`防止XSS攻击,`secure`确保HTTPS传输,`sameSite`防御CSRF攻击。本文将深入探讨Node.js中Cookie的设置、读取、清除,以及安全属性配置,助你构建更健壮的Web应用。

答案:Node.js中操作Cookie需借助Express等框架及cookie-parser中间件,通过res.cookie()设置、req.cookies读取、res.clearCookie()清除,并需配置httpOnly、secure、sameSite等安全属性以防范XSS和CSRF攻击。

怎样使用Node.js操作Cookie?

在Node.js中操作Cookie,本质上是围绕HTTP请求与响应头进行。我们不会像在浏览器里那样直接去“读写”一个全局的document.cookie对象,而是在服务器端接收来自客户端的Cookie,或向客户端发送设置Cookie的指令。最常见和推荐的方式,是借助像Express.js这样的Web框架,配合其生态中的中间件,如cookie-parser,来简化这一过程。

解决方案

要在Node.js应用中高效且安全地操作Cookie,我们通常会选择一个成熟的Web框架。以Express.js为例,它提供了一套非常直观的API。

首先,你需要安装expresscookie-parser

npm install express cookie-parser

然后,在你的应用中引入并使用它们:

const express = require('express');
const cookieParser = require('cookie-parser');
const app = express();
const port = 3000;

// 使用cookie-parser中间件。
// 如果你想对Cookie进行签名,可以在这里传入一个秘密字符串(secret)。
// 例如:app.use(cookieParser('your-secret-key'));
app.use(cookieParser());

// 设置Cookie的路由
app.get('/set-cookie', (req, res) => {
  // 设置一个简单的Cookie
  res.cookie('myCookie', 'helloWorld', { maxAge: 900000, httpOnly: true });

  // 设置一个带有更多选项的Cookie
  res.cookie('userSession', 'someUserId123', { 
    expires: new Date(Date.now() + 24 * 3600 * 1000), // 24小时后过期
    httpOnly: true, // 重要的安全选项,防止客户端脚本访问
    secure: process.env.NODE_ENV === 'production', // 仅在HTTPS连接下发送
    sameSite: 'Lax', // 重要的安全选项,防止CSRF攻击
    path: '/', // Cookie对所有路径都可用
    // domain: '.example.com' // 如果需要跨子域共享
  });

  res.send('Cookie已设置!');
});

// 获取Cookie的路由
app.get('/get-cookie', (req, res) => {
  // cookie-parser会将所有Cookie解析到req.cookies对象上
  const myCookie = req.cookies.myCookie;
  const userSession = req.cookies.userSession;

  if (myCookie) {
    res.send(`获取到的myCookie是: ${myCookie},userSession是: ${userSession || '未设置'}`);
  } else {
    res.send('未找到myCookie。');
  }
});

// 清除Cookie的路由
app.get('/clear-cookie', (req, res) => {
  // 清除Cookie需要指定其名称和设置时的路径(如果非默认)
  res.clearCookie('myCookie');
  res.clearCookie('userSession'); // 清除时也要注意path和domain是否匹配

  res.send('Cookie已清除!');
});

app.listen(port, () => {
  console.log(`服务器运行在 http://localhost:${port}`);
});

在这个例子中,res.cookie()方法是设置Cookie的关键。它接受Cookie的名称、值以及一个可选的配置对象。这个配置对象里的参数,比如httpOnlysecuresameSite等,对于Cookie的安全性和行为至关重要。而req.cookies则是由cookie-parser中间件解析后,提供给我们方便访问客户端发送过来的所有Cookie。清除Cookie则通过res.clearCookie()来实现,它会发送一个过期时间为过去的Set-Cookie头,指示浏览器删除该Cookie。

Node.js中操作Cookie时有哪些常见的安全考量?

在Node.js应用中处理Cookie,安全性绝不是一个可以忽视的环节。我个人觉得,很多开发者,包括我自己在初学时,很容易只关注功能实现而忽略了这些至关重要的安全属性。这些属性的存在,是为了保护用户数据和应用程序免受常见的Web攻击。

  • httpOnly 属性: 这是我首推的、最重要的安全设置之一。当一个Cookie被标记为httpOnly: true时,客户端的JavaScript就无法通过document.cookie来访问它。这意味着,即使你的网站不幸遭受了跨站脚本攻击(XSS),攻击者也无法通过注入恶意JavaScript代码来窃取这个Cookie,从而大大降低了会话劫持的风险。对于存储用户会话ID这类敏感信息的Cookie,httpOnly几乎是必选项。

  • secure 属性: 如果你的网站使用了HTTPS(现在应该都是标配了),那么secure: true也是一个必须的设置。它告诉浏览器,这个Cookie只能通过加密的HTTPS连接发送到服务器,而不能通过不安全的HTTP连接发送。这可以防止Cookie在传输过程中被窃听或篡改。在开发环境,我可能会暂时关闭它,但一旦部署到生产环境,这个开关必须打开。

  • sameSite 属性: 这个属性是近年来Web安全领域的一个重要进展,主要用于防御跨站请求伪造(CSRF)攻击。它有三个主要值:

    • Lax (默认值,如果未设置): 这是相对宽松的模式。在跨站请求中,只有当用户通过顶部导航(如点击链接)或GET形式的表单提交时,Cookie才会被发送。像标签或