你有没有过这种崩溃时刻?用户登录后,一刷新页面就自动登出;购物车内容莫名消失;甚至在测试环境好好的功能,一上线就“人间蒸发”……别急,问题很可能藏在document.cookie里——这个被无数开发者当作“万能钥匙”的属性,实则是个披着羊皮的狼!今天,我作为混迹前端圈十年的老炮,带你撕开它的伪装,从原理到血泪教训,手把手教你避开这些“隐形炸弹”。
一、document.cookie:你以为的“简单字符串”,其实是座数据矿场
别被名字骗了!document.cookie不是普通字符串,而是一个可读可写的字符串属性,它存储了当前域名下所有 cookie 的键值对(用;分隔)。比如:
// 假设已设置过 cookieconsole.log(document.cookie);// 输出: "username=John; theme=dark; session=abc123"但真相是:它只负责“传递”数据,真正的操作逻辑藏在浏览器底层。
- ✅读取:直接读取字符串,但需手动解析(见下文)。
- ❌写入:赋值时,浏览器会自动添加 cookie(如
document.cookie = "token=xyz")。 - ⚠️关键陷阱:如果你写
document.cookie = "name=John",不会自动覆盖旧值!必须指定path或domain,否则可能写到错误路径。
💡为什么开发者总栽跟头?因为它像“黑盒”:你只看到结果,却忽略了浏览器的隐式规则(比如默认
path=/)。
二、Cookie 属性:90% 的人只用过name和value,其他全是隐藏技能!
Cookie 的威力,全靠这些“魔法属性”加持。下面用真实场景拆解:
| 属性 | 作用 | 示例 | 为什么重要? |
|---|---|---|---|
expires | 设置过期时间(GMT 格式) | expires=Wed, 31 Dec 2025 23:59:59 GMT | 不设就默认会话结束失效!常被忽略导致“登录状态消失”。 |
path | 指定 cookie 作用的路径 | path=/admin | 不设默认为当前路径!若路径不对,读不到值。 |
domain | 指定域名(跨子域时需设置) | domain=example.com | 用www.example.com时,domain=example.com才能共享。 |
secure | 仅 HTTPS 下传输 | secure | 必须加!否则 HTTP 网站会泄露敏感数据。 |
httpOnly | JavaScript 无法访问(防 XSS) | httpOnly | 核心安全属性!但只能由服务器设置,JS 无法控制! |
💡血泪案例:某电商项目因漏写
path=/,用户在/checkout页面能读到cartcookie,但/product页读不到——排查一周才发现是路径问题!
三、实操指南:3 行代码搞定 cookie,但 90% 的人写错了!
✅ 正确操作(附安全建议):
// 1. 设置 cookie(安全版:带 expires、secure、path)functionsetCookie(name,value,days){constdate=newDate();date.setTime(date.getTime()+(days*24*60*60*1000));document.cookie=`${name}=${encodeURIComponent(value)}; expires=${date.toUTCString()}; path=/; secure`;}// 2. 读取 cookie(解析字符串)functiongetCookie(name){constnameEQ=`${name}=`;constcookies=document.cookie.split(';');for(leti=0;i<cookies.length;i++){letcookie=cookies[i].trim();if(cookie.indexOf(nameEQ)===0)returndecodeURIComponent(cookie.substring(nameEQ.length));}returnnull;}// 3. 删除 cookie(关键!设为过去时间)functiondeleteCookie(name){document.cookie=`${name}=; expires=Thu, 01 Jan 1970 00:00:00 GMT; path=/`;}⚠️致命错误:
- 未用
encodeURIComponent→ 用户名含&会破坏 cookie 结构(如name=John&age=30→ 变成两个 key)。- 忘记
secure→ 开发时用http://测试,上线后 HTTPS 时 cookie 无法发送。
四、安全雷区:你的 cookie 可能正在被黑客“偷家”!
document.cookie是 XSS 攻击的头号目标!攻击者通过注入脚本,直接读取 cookie(如document.cookie被窃取)。
- 防御铁律:
- 关键 cookie(如 token)必须设
httpOnly(服务器设置,JS 无法操作)。 - 所有 cookie 设
secure(强制 HTTPS 传输)。 - 避免存储敏感数据:用
sessionStorage或后端会话管理替代。
- 关键 cookie(如 token)必须设
💡真实教训:某支付平台因未设
httpOnly,黑客通过 XSS 获取用户 token,导致 5000+ 账户被盗!
五、进阶方向:别再手动操作 cookie,用库才是真·高手!
手动写 cookie 解析太容易出错,推荐用js-cookie库(轻量级、安全封装):
// 用 js-cookie 代替原生操作Cookies.set('token','xyz',{expires:7,secure:true,path:'/'});Cookies.get('token');// 安全解析,自动处理编码Cookies.remove('token');- 为什么用它?它自动处理
encodeURIComponent、path默认值,且避免 XSS 风险。 - 进阶学习:深入研究Web 安全(OWASP Top 10)和HTTP 传输层安全(HSTS)。
结语:cookie 不是“玩具”,而是“责任”
document.cookie本质是浏览器的“数据存储通道”,但它的强大恰恰源于其脆弱性——一个参数疏忽,就可能让整个应用陷入危机。记住:安全不是“加个 flag”,而是刻进开发骨子里的习惯。
