登录
首页 >  文章 >  前端

JavaScript操作Cookie及设置过期时间与安全属性

时间:2026-03-14 15:05:34 242浏览 收藏

本文深入解析了JavaScript操作Cookie的核心要点,涵盖如何通过document.cookie安全地设置、读取和删除Cookie,重点讲解了Max-Age与Expires的优先级关系、Secure/SameSite/Path/Domain等关键安全属性的正确写法与使用场景,并明确指出HttpOnly只能由服务端设置、前端无法绕过这一重要安全限制;同时提醒开发者注意字符串拼接规范、路径匹配要求及会话Cookie的默认行为,最后给出实用建议——敏感数据应交由HttpOnly Cookie保护,非敏感信息优先考虑localStorage,帮助前端工程师在真实项目中规避常见陷阱、提升应用安全性与健壮性。

JavaScript如何操作Cookie_怎样设置过期时间和安全属性

JavaScript 操作 Cookie 主要通过 document.cookie 这个接口,它既可读也可写,但不是直接的对象属性,而是一个特殊的字符串式 API。设置过期时间、SecureHttpOnlySameSite 等属性,关键在于拼写格式正确、注意分号与空格,并理解哪些属性前端能设、哪些不能(比如 HttpOnly 只能由服务端设置)。

设置 Cookie 并指定过期时间(Expires / Max-Age)

Cookie 默认是会话级的(关闭浏览器即失效),要持久化必须显式设置过期策略:

  • Expires:传入一个 Date.toUTCString() 格式的格林威治时间字符串,例如:
    document.cookie = "theme=dark; Expires=Fri, 31 Dec 2027 23:59:59 GMT";
  • Max-Age(更推荐):直接设秒数,如 7 天:
    document.cookie = "theme=dark; Max-Age=604800";
    注意:Max-Age 优先级高于 Expires;若两者都写,以 Max-Age 为准。
  • 不设过期时间 → Cookie 为会话 Cookie,仅在当前浏览器会话有效。

添加安全属性:Secure、SameSite 和 Path/Domain

这些属性用分号分隔,附加在 Cookie 字符串末尾,中间**不能有逗号或换行**,且大小写不敏感(但习惯全大写):

  • Secure:只允许通过 HTTPS 协议传输(开发时 localhost 也视为安全上下文)
    document.cookie = "auth=abc123; Secure; Max-Age=3600";
  • SameSite:防 CSRF,可选 Lax(默认)、StrictNone;若设 None,则 Secure 必须同时存在
    document.cookie = "cart=id456; SameSite=Lax; Max-Age=86400";
  • Path:限制 Cookie 在哪些路径下发送,默认是当前路径,常用 Path=/ 让其对整个域名生效
    document.cookie = "lang=zh-CN; Path=/; Max-Age=2592000";
  • Domain:指定可共享 Cookie 的域名(含子域),如 Domain=.example.com → 对 app.example.comapi.example.com 都有效(注意开头的点)

HttpOnly 属性无法通过 JavaScript 设置

HttpOnly 是服务端响应头中设置的安全标识,用于禁止 JavaScript 访问该 Cookie(防止 XSS 泄露),因此:
✅ 服务端可设:Set-Cookie: sessionid=xxx; HttpOnly; Secure; SameSite=Lax
❌ 前端 JS 执行 document.cookie = "...; HttpOnly" 会被浏览器忽略,且不会报错。

读取和删除 Cookie 的注意事项

读取时 document.cookie 返回一个分号+空格分隔的字符串(如 "a=1; b=2; c=3"),需手动解析;删除则是设一个已过期的 Expires

  • 删除示例:
    document.cookie = "theme=; Expires=Thu, 01 Jan 1970 00:00:00 GMT; Path=/";
    (值为空 + 过期时间 + 匹配原设置的 PathDomain 才能覆盖删除)
  • 建议封装工具函数处理读写,避免每次手动拼接;现代项目更推荐用 localStorage 存非敏感数据,敏感凭证交由 HttpOnly Cookie 管理。

今天关于《JavaScript操作Cookie及设置过期时间与安全属性》的内容就介绍到这里了,是不是学起来一目了然!想要了解更多关于的内容请关注golang学习网公众号!

资料下载
相关阅读
更多>
最新阅读
更多>
课程推荐
更多>