document.cookie操作技巧与使用规则解析

本文深入剖析了前端操作 document.cookie 的核心规则与常见陷阱，揭示其并非简单的键值对存取，而是一套需严格遵循字符串格式、编码规范、路径作用域及元信息协同的“浏览器对话协议”：读取时需精准处理分隔符、解码和空格；写入本质是声明式添加，必须显式指定 path、expires/max-age、secure、SameSite 等关键属性并正确编码值；删除则依赖伪造过期时间且路径/域名必须完全匹配；更关键的是，HttpOnly cookie 从设计上就对 JavaScript 完全不可见——这不是缺陷，而是强制的安全隔离机制，提醒开发者敏感凭证绝不可交由前端 Cookie 管理。掌握这些隐性规则，才能避免静默失败、跨页失效、安全漏洞等真实开发痛点。

直接用 document.cookie 读写 Cookie 不是赋值一个对象，而是和浏览器“对话”——它只认严格格式的字符串，稍有偏差就静默失败。核心难点不在语法本身，而在路径、编码、作用域和元信息的协同规则。

读取：拿到的是拼接串，不是键值对

执行 document.cookie 返回类似这样的字符串：

它不包含 expires、path、domain 等元信息，也不自动解码。常见误区包括：

• 用 .split(";") 切分，但实际分隔符是 "; "（分号+空格），首尾可能带空格
• 没调用 decodeURIComponent()，导致中文或特殊字符显示为 %E4%BD%A0 类编码
• 用 find 匹配时未处理键名前后空格，比如 " theme=dark" 会匹配失败

推荐提取单个值的方式：

function getCookie(name) {
  const value = `; ${document.cookie}`;
  const parts = value.split(`; ${name}=`); 
  if (parts.length === 2) {
    return decodeURIComponent(parts.pop().split(';').shift());
  }
}

写入：不是覆盖，是“声明式添加”，必须带完整结构

给 document.cookie 赋值，本质是向浏览器提交一条“cookie 声明”。每次赋值只影响该条声明，不会动其他 cookie。

最简写法 document.cookie = "a=1" 会生效，但极不稳定，因为：

• 没设 path=/ → 默认绑定当前完整路径（如 /admin/user），其他页面读不到
• 没设 expires 或 max-age → 变成会话级 cookie，关标签即丢
• 值含空格、等号、分号或中文 → 必须 encodeURIComponent() 编码，否则解析中断
• 在 HTTP 页面设 secure → 浏览器直接忽略，不报错也不存

正确写法示例：

删除：没有 delete，只有“伪造过期”

所谓删除，就是用相同 key + 已过期时间 + 完全一致的 path 和 domain，重新声明一次。

• 过期时间必须是过去的时间点，常用 Thu, 01 Jan 1970 00:00:00 GMT
• 如果原 cookie 设了 path=/admin，删除时也必须写 path=/admin，写 path=/ 无效
• 如果原 cookie 设了 domain=.example.com，删除时 domain 参数不能省略或写错
• value 可留空，但 key 后的 = 不能省，否则变成 key=(empty) 而非清除

安全删除模板：

document.cookie = "mykey=; expires=Thu, 01 Jan 1970 00:00:00 GMT; path=/; domain=.example.com";

关键限制：HttpOnly 是硬隔离，不是技术问题

服务端在响应头中设置 Set-Cookie: sessionid=xxx; HttpOnly; Secure 后，这个 cookie 对 document.cookie 完全不可见——它不会出现在返回字符串里，也无法被 JS 读写。

这不是 bug，是安全机制。JS 能操作的 cookie 天然不适用于存储敏感凭证（如 session token），应交由后端管理。

本篇关于《document.cookie操作技巧与使用规则解析》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！