前端的 cookie 读写在 2020 年之前一直不存在一个官方的接口,每次需要使用 cookie 的时候,要么是引入三方插件,要么就需要自己封装一个公用的组件或函数。
npm 的 cookie 插件周下载量 6 千万左右,可以想象一下此功能在前端的应用场景有多么广泛~~
cookie 插件: https://www.npmjs.com/package/cookie
cookie 用途
cookie 一般多用于存储标识符,比如用户身份标识(登录状态),个性化设置的一些标识(语言设置,主题设置等等),用户行为跟踪标识(跟踪用户点击行为等)。
以前还有很多的广告商用于跟踪用户行为,现在由于浏览器的安全机制越来越严格,广告商基本不再使用 cookie 跟踪用户信息,转而使用浏览器的指纹特征来做跟踪记录。浏览器指纹可参考文章:浏览器 15 个常见指纹特征,使用插件 FingerprintJS 生成浏览器指纹
cookie 安全问题
由于 cookie 存储在用户浏览器,极易被嵌入的三方代码获取,用于 XSS 攻击,CSRF 跨站请求伪造等等。
所以在使用 cookie 存储关键信息时候,需要注意配置 cookie 的安全属性,比如:过期时间(expires)、安全(secure)、sameSite等。
cookie 相关属性
name:记录 cookie 名称的字符串。
value:记录 cookie 值。
domain:表示 cookie 的所属域,跨域不能访问。
expires:表示 cookie 的过期时间,使用 unix 时间戳,不设置默认是会话结束,即浏览器关闭就失效。
path:记录 cookie 路径的字符串,设置了路径之后,跨路径无法访问。默认为 /。
partitioned:cookie是否分区,实验性质。
sameSite:设置跨站点请求中是否发送cookie。
secure:设置后表示只能通过 HTTPS 协议访问。
以下属性仅支持后端设置,前端无法处理。
httpOnly:设置后客户端脚本(即浏览器端)无法访问 cookie。
cookie 存储方法
最原始的 cookie 存储方法只能使用 document.cookie 属性,读写操作都只能通过它~~
例如一个完整的设置 cookie 的代码:
document.cookie = `name=${encodeURIComponent('前端路引')};expires=${new Date(2026, 0, 1).toGMTString()};path=/;Secure;SameSite=Lax`;注意:写入 cookie 的属性值不能存在换行,换行无效,代码也不会报错,比如:
// 由于有换行符存在以下代码浏览器不报错,也不会写入cookiedocument.cookie = ` name=${encodeURIComponent('前端路引')}; expires=${new Date(2026, 0, 1).toGMTString()}; path=/; domain=localhost; Secure; SameSite=Lax`;取值:
const name = document.cookie.split(';').find(item => item.trim().startsWith('name=')).split('=')[1]console.log(decodeURIComponent(name))这种读写方法始终不太方便,然后可以稍稍的封装一下:
/** * 获取或者设置cookie * @param name {String} cookie名 * @param value {String} cookie值,如果传递该参数,则直接取值 * @param days {Number} 设置cookie有效天数 * @return 如果取值,则返回值,没值则返回null */function cookie (name, value, days) { if (value !== undefined) { if (days === undefined || days === null || days === '') { document.cookie = name + '=' + encodeURIComponent(value) + '; path=/;'; return; } days = isNaN(days) ? 0 : days; var exp = new Date(); exp.setTime(exp.getTime() + days * 24 * 60 * 60 * 1000); document.cookie = name + '=' + encodeURIComponent(value) + '; path=/;expires=' + exp.toGMTString(); } else { var reg = new RegExp('(^| )' + name + '=([^;]*)(;|$)'); var arr = document.cookie.match(reg); if (arr) { return decodeURIComponent(arr[2]); } else { return null; } }}以上代码只是一个基础的封装使用,可以基于此扩展一下其他配置项!!也可以直接下载 npm 开源的 cookie/js-cookie 插件。
CookieStore
document.cookie 操作 cookie 需要对字符串进行处理,如果存在多个 cookie 的情况下,处理起来就更麻烦,所以在 2020 年 JS 标准就新增了 CookieStore 接口,用于管理 cookie。此接口大大的简化了 cookie 的读写操作,用起来也更加方便。
CookieStore 只能在 https 或者 localhost 下使用,所以不再支持 Secure 配置,默认就是在 https 中传输。
CookieStore 对象就四个方法,都返回 Promise 对象:
// 删除cookieStore.delete() // 返回 Promise// 获取cookieStore.get() // 返回 Promise// 获取全部cookieStore.getAll() // 返回 Promise// 写入cookieStore.set() // 返回 Promise// 支持change事件用于监听 Cookie 变化cookieStore.addEventListener("change", (event) => { })cookieStore.onchange = (event) => { }使用示例:
(async () => { cookieStore.addEventListener("change", (event) => { console.log(event.changed); }) cookieStore.onchange = (event) => { console.log(event.changed); } await cookieStore.set('name', '公众号') await cookieStore.get('name').then(value => { console.log(value) }) await cookieStore.delete('name').then(() => { console.log('删除成功') }) await cookieStore.set({ name: 'name', value: '前端路引', expires: new Date(2026, 0, 1).getTime(), // Unix 时间戳(以毫秒为单位表示) path: '/', secure: true, // 不支持设置 sameSite: 'lax' }) await cookieStore.get({ name: 'name', url: window.location.href }).then(value => { console.log(value) }) await cookieStore.set('type', '公众号') await cookieStore.getAll().then(values => { console.log(values) })})()更多用法参考 MDN 文档:https://developer.mozilla.org/zh-CN/docs/Web/API/CookieStore
写在最后
cookieStore 可以大大简化前端读写 cookie 的复杂度,但由于其 API 引入时间较晚,基本都是在 2020 年之后的浏览器才开始支持,所以在使用时请注意浏览器兼容情况。
在使用 Cookie 保存敏感数据时,请务必注意数据安全,比如存储用户的身份令牌,如果身份令牌被三方代码获取,及其容易造成跨站请求伪造,导致用户信息泄露!!
