JavaScript通过document.cookie操作Cookie，需正确拼写属性（如Max-Age优先于Expires）、注意分隔符，HttpOnly只能由服务端设置，读取需解析字符串，删除需匹配原Path并设过期时间。

JavaScript 操作 Cookie 主要通过 document.cookie 这个接口，它既可读也可写，但不是直接的对象属性，而是一个特殊的字符串式 API。设置过期时间、Secure、HttpOnly、SameSite 等属性，关键在于拼写格式正确、注意分号与空格，并理解哪些属性前端能设、哪些不能（比如 HttpOnly 只能由服务端设置）。

设置 Cookie 并指定过期时间（Expires / Max-Age）

Cookie 默认是会话级的（关闭浏览器即失效），要持久化必须显式设置过期策略：

• 用 Expires：传入一个 Date.toUTCString() 格式的格林威治时间字符串，例如：
  document.cookie = "theme=dark; Expires=Fri, 31 Dec 2027 23:59:59 GMT";
• 用 Max-Age（更推荐）：直接设秒数，如 7 天：
  document.cookie = "theme=dark; Max-Age=604800";
  注意：Max-Age 优先级高于 Expires；若两者都写，以 Max-Age 为准。
• 不设过期时间 → Cookie 为会话 Cookie，仅在当前浏览器会话有效。

添加安全属性：Secure、SameSite 和 Path/Domain

这些属性用分号分隔，附加在 Cookie 字符串末尾，中间**不能有逗号或换行**，且大小写不敏感（但习惯全大写）：

• Secure：只允许通过 HTTPS 协议传输（开发时 localhost 也视为安全上下文）
  document.cookie = "auth=abc123; Secure; Max-Age=3600";
• SameSite：防 CSRF，可选 Lax（默认）、Strict 或 None；若设 None，则 Secure 必须同时存在
  document.cookie = "cart=id456; SameSite=Lax; Max-Age=86400";
• Path：限制 Cookie 在哪些路径下发送，默认是当前路径，常用 Path=/ 让其对整个域名生效
  document.cookie = "lang=zh-CN; Path=/; Max-Age=2592000";
• Domain：指定可共享 Cookie 的域名（含子域），如 Domain=.example.com → 对 app.example.com 和 api.example.com 都有效（注意开头的点）

HttpOnly 属性无法通过 JavaScript 设置

HttpOnly 是服务端响应头中设置的安全标识，用于禁止 JavaScript 访问该 Cookie（防止 XSS 泄露），因此：
✅ 服务端可设：Set-Cookie: sessionid=xxx; HttpOnly; Secure; SameSite=Lax
❌ 前端 JS 执行 document.cookie = "...; HttpOnly" 会被浏览器忽略，且不会报错。

读取和删除 Cookie 的注意事项

读取时 document.cookie 返回一个分号+空格分隔的字符串（如 "a=1; b=2; c=3"），需手动解析；删除则是设一个已过期的 Expires：

• 删除示例：
  document.cookie = "theme=; Expires=Thu, 01 Jan 1970 00:00:00 GMT; Path=/";
  （值为空 + 过期时间 + 匹配原设置的 Path 和 Domain 才能覆盖删除）
• 建议封装工具函数处理读写，避免每次手动拼接；现代项目更推荐用 localStorage 存非敏感数据，敏感凭证交由 HttpOnly Cookie 管理。

# javascript  # java  # js  # 前端  # cookie  # 浏览器  # app  # 工具  # session  # ai  # 敏感数据 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： HTML5空格和margin有啥区别_空格与外边距的使用场景【说明】  javascript基于原型链的继承及call和apply函数用法分析  为什么要用作用域操作符_php中访问类常量与静态属性的优势【解答】  阿里云网站搭建费用解析：服务器价格与建站成本优化指南  瓜子二手车官方网站在线入口 瓜子二手车网页版官网通道入口  JavaScript中的标签模板是什么_它如何扩展字符串功能  Python文件操作最佳实践_稳定性说明【指导】  使用spring连接及操作mongodb3.0实例  nginx修改上传文件大小限制的方法  如何在云主机上快速搭建网站？  韩国代理服务器如何选？解析IP设置技巧与跨境访问优化指南  Java类加载基本过程详细介绍  香港服务器建站指南：外贸独立站搭建与跨境电商配置流程  Laravel如何监控和管理失败的队列任务_Laravel失败任务处理与监控  Laravel用户密码怎么加密_Laravel Hash门面使用教程  edge浏览器无法安装扩展 edge浏览器插件安装失败【解决方法】  Laravel怎么实现软删除SoftDeletes_Laravel模型回收站功能与数据恢复【步骤】  Laravel如何实现图片防盗链功能_Laravel中间件验证Referer来源请求【方案】  如何快速搭建支持数据库操作的智能建站平台？  邀请函制作网站有哪些,有没有做年会邀请函的网站啊？在线制作，模板很多的那种？  头像制作网站在线观看,除了站酷，还有哪些比较好的设计网站？  ,怎么在广州志愿者网站注册？  JavaScript Ajax实现异步通信  电商网站制作价格怎么算,网上拍卖流程以及规则？  矢量图网站制作软件,用千图网的一张矢量图做公司app首页，该网站并未说明版权等问题，这样做算不算侵权？应该如何解决？  javascript基本数据类型及类型检测常用方法小结  Laravel如何实现事件和监听器？（Event & Listener实战）  Laravel如何实现用户角色和权限系统_Laravel角色权限管理机制  laravel怎么配置Redis作为缓存驱动_laravel Redis缓存配置教程  Laravel如何使用Passport实现OAuth2？（完整配置步骤）  Python正则表达式进阶教程_复杂匹配与分组替换解析  Laravel Eloquent性能优化技巧_Laravel N+1查询问题解决  智能起名网站制作软件有哪些,制作logo的软件？  如何制作公司的网站链接,公司想做一个网站，一般需要花多少钱？  iOS正则表达式验证手机号、邮箱、身份证号等  详解jQuery停止动画——stop()方法的使用  详解ASP.NET 生成二维码实例（采用ThoughtWorks.QRCode和QrCode.Net两种方式）  如何快速查询网址的建站时间与历史轨迹？  网站制作大概要多少钱一个,做一个平台网站大概多少钱？  Laravel怎么发送邮件_Laravel Mail类SMTP配置教程  Laravel如何集成第三方登录_Laravel Socialite实现微信QQ微博登录  Laravel怎么设置路由分组Prefix_Laravel多级路由嵌套与命名空间隔离【步骤】  微信小程序 HTTPS报错整理常见问题及解决方案  Laravel怎么返回JSON格式数据_Laravel API资源Response响应格式化【技巧】  Laravel Artisan命令怎么自定义_创建自己的Laravel命令行工具完全指南  EditPlus 正则表达式 实战(3)  如何自定义建站之星网站的导航菜单样式？  北京网页设计制作网站有哪些,继续教育自动播放怎么设置？  个人摄影网站制作流程,摄影爱好者都去什么网站？  Laravel如何生成和使用数据填充？（Seeder和Factory示例）