17370845950

JavaScript操作cookie需通过document.cookie，读写受限；写入用key=value;expires=...格式，读取需解析字符串，删除需设过期时间；单个最大4KB、同域约20–30个，不安全且易被清除，适合存登录态等需自动随请求发送的轻量数据。

JavaScript 操作 cookie 主要靠 document.cookie 这个接口，它看起来像字符串，实际是读写受限的特殊属性。操作本身不难，但细节多、易出错；限制也明确，不能当“小数据库”乱用。

怎么读、写、删 cookie

写入：直接赋值字符串，格式为 key=value; expires=...; path=/; domain=...; Secure; HttpOnly。例如：

• document.cookie = "theme=dark; expires=Fri, 12 Dec 2025 14:37:00 GMT; path=/";
• 不设 expires 就是会话 cookie，关浏览器就消失
• 多个属性用分号+空格分隔，path 和 domain 决定作用范围

读取：返回的是所有可访问 cookie 拼成的一个字符串，如 "user=john; lang=zh; cart=3"，需手动解析：

• 用 document.cookie.split('; ') 拆成数组
• 再对每个项 split('=') 取键值，并 decodeURIComponent() 解码
• 建议封装成 getCookie('user') 函数，避免每次重复写

删除：本质是覆盖原 cookie，把 expires 设为过去时间即可：

• document.cookie = "user=; expires=Thu, 01 Jan 1970 00:00:00 GMT; path=/";
• 注意要保持 path 和 domain 与写入时一致，否则删不掉

cookie 的硬性限制

浏览器对 cookie 有明确的容量和数量上限，不是“想存多少存多少”：

• 单个 cookie 最大 4KB（含名、值、所有属性），超了会被截断或忽略
• 同域名下最多约 20–30 个 cookie，超出后旧的可能被自动丢弃
• 总大小也有隐式限制（比如 Chrome 对整个域名约 8MB，但 cookie 部分仍受 4KB/条约束）

安全与可靠性注意事项

cookie 不是安全或可靠的存储方式，尤其不适合放敏感数据：

• 明文传输风险高：没加 Secure 属性，HTTP 下会被窃听；没加 HttpOnly，JS 可读取，易遭 XSS 窃取
• 用户可随时清除：手动删 cookie、启用“无痕模式”、浏览器设置禁用等都会导致丢失
• 跨域隔离严格：a.com 写的 cookie，b.com 根本读不到；子域名共享需显式设 domain=.example.com
• SameSite 缺失易引发 CSRF：现代应用应设 SameSite=Lax 或 Strict 防范跨站请求伪造

什么场景适合用 cookie？

它的不可替代性在于“自动随 HTTP 请求发送”——这是 localStorage、sessionStorage 完全不具备的：

• 用户登录态（配合后端 session 或 JWT）
• 需要服务端识别的偏好设置（如语言、主题）
• 购物车 ID、访客追踪 ID 等需在首屏就传给后端的信息

其他情况，比如纯前端缓存、大量结构化数据，优先选 localStorage 或 IndexedDB。

基本上就这些。操作不复杂但容易忽略编码、路径、过期时间这些细节，限制虽死板但设计初衷很清晰：轻量、短寿、带上下文——用对地方才有效。