cookie 

Cookie是一个客户端会话技术，是由服务器端创建，放在响应头发送到客户端保存，用于存储少量数 据，因为存放在客户端中，容易被人编造伪造，不是很安全。一般不用于存储重要信息。它是通过键值对传递信息的。

Cookie是保存在客户端的数据，所以如果不做设定，默认情况下是跟着客户端一起消失，如果设置 setMaxAge()，将会以设置的数值为主，时间到了将会自动消失

• Cookie是服务器通知客户端保存键値对的一种技术
• 客戶端有了 Cookie后，每次请求都发送给服务器
• 每个 Cookie的大小不能超过4kB，超过这个限制cookie中无法存储该数据

Cookie应用场景 

• Cookie能使站点跟踪特定访问者的访问次数、最后访问时间和访问者进入站点的路径
• Cookie能告诉在线广告商广告被点击的次数，从而可以更精确的投放广告
• Cookie有效期限未到时，Cookie能使用户在不键入密码和用户名的情况下进入曾经浏览过的一些 站点
• Cookie能帮助站点统计用户个人资料以实现各种各样的个性化服务
• 安全性能差，容易信息泄露 

基础编程

添加cookie 

Cookie ck1 = new Cookie("username", username); //创建cookie对象，注意cookie中只
能存放字符串，其它数据可以转换为字符串进行存储，默认maxAge为-1，表示采用内存cookie
response.addCookie(ck1); //将cookie发送到客户端

读取cookie

Cookie[] cks = request.getCookies();//获取当前应用可以访问的所有cookie
String username = null;
for (Cookie ck : cks) { //遍历所有的cookie，根据名称查找对应的存储数据
    if ("username".equals(ck.getName())) {
        username = ck.getValue();
    }
}

void setValue(String newValue) cookie创建后设置一个新的值。

String getName()返回Cookie的名字。名字和值是关心的两个部分

String getValue() 返回Cookie的值

具体的cookie可以分为内存cookie和文件cookie， Cookie ck=new Cookie("username","zhangsan") 时默认maxAge为 -1表示内存cookie，内存cookie在浏览器窗口关 闭后会自动消失；如果需要使用文件cookie则需要设置maxAge，参数为正整数

void setMaxAge(int expiry) 以秒计算，设置Cookie过期时间。注意这个值是cookie将要存在的最大时 间，而不是cookie现在的存在时间。负值表示当浏览器关闭时，Cookie将会被删除。零值则是要删除该 Cookie

int getMaxAge() 返回Cookie过期之前的最大时间，以秒计算。

文件cookie不受当前窗口是否关闭的影响

Cookie ck=new Cookie("name","wangwu");
ck.setMaxAge(15*24*60*60);//需要存储15天，例如15天免登录
response.addCookie(ck);

void setComment(String purpose) 设置cookie中注释。 

String getComment()返回cookie中注释，如果没有注释的话将返回空值 

String getDomain() 返回cookie中Cookie适用的域名。使用getDomain() 方法可以指示浏览器把Cookie 返回给同 一域内的其他服务器,而通常Cookie只返回给与发送它的服务器名字完全相同的服务器。注意 域名必须以点开始，如.yesky.com） 

void setDomain(String pattern) 设置cookie中Cookie适用的域名 

String getPath()返回Cookie适用的路径。如果不指定路径，Cookie将返回给当前页面所在目录及其子目 录下 的所有页面 

 void setPath(String uri) 指定Cookie适用的路径。

其它方法

boolean getSecure() 如果浏览器通过安全协议发送cookies将返回true值，如果浏览器使用标准协议则 返回false值。

int getVersion() 返回Cookie所遵从的协议版本。

void setSecure(boolean flag) 指出浏览器使用的安全协议，例如HTTPS或SSL。

void setVersion(int v) 设置Cookie所遵从的协议版本。 

Cookie原理

对于Cookie的实现原理是基于HTTP协议的，其中设计HTTP协议中的两个请求头信息分别为：响应头 set-cookie、请求头cookie

[response.addCookie]当要发送Cookie的时候会有一个响应头set-cookie，里面放着数据，当将来浏览 器在请求服务器资源的时候，会通过一个cookie头把cookie的数据携带到服务器资源里面来请求 

Cookie限制性 

cookie存储大小一般为4kB，存储个数一般20-53个，视浏览器的不同。 

Cookie通讯过程

Cookie在通讯中会经历4个过程：

• 浏览器发送请求
• 服务端接收请求，并返回响应，在报文头中包含set-cookie的字段
• 浏览器接收响应后将Cookie存储，并在之后的请求中都会带上cookie的信息
• 服务端接收请求，并返回响应。 

Cookie属性

Cookie的属性有：key/value、Expires、Domain、path、Secure、HttpOnly

• Key/value键值对，cookie按照键值对的模式存储信息
• Expires过期时间，设置某个时间后，cookie会失效
• Domain指定Cookie的域名作用域
• Path是Cookie生成的路径
• Secure只有在HTTPS模式下，服务端才会响应cookie信息
• HttpOnly设为true后，只能通过http访问，不能通过document.cookie获取设定为httponly的键 值，防止xss读取cookie 

maxAge

标准用法 

Cookie ck=new Cookie("name","wangwu");
// ck.setMaxAge(15*24*60*60);//需要存储15天，例如15天免登录
ck.setMaxAge(0); //删除cookie
response.addCookie(ck);

 基于语法 cookie.setMaxAge(60); 单位为秒。

• 当maxAge >0时Cookie将在maxAge秒后自动失效
• 当maxAge =0时Cookie将立刻删除Cookie
• 当maxAge =-1时Cookie的时间过期后cookie依然存在在浏览器上，将存在一段时间或重启浏览器 自动消失。 

 HttpServletResponse提供的Cookie操作只有一个addCookie，如果要修改Cookie只能用一个同名的 Cookie进行覆盖。

客户端发送的cookie时，只会提交name和value属性，其他属性是不可读的。也不会被提交。即服务端 无法判断Cookie是否过期，获取域名信息等。如在服务端通过cookie.getMaxAge()获取过期时间，读取 的是一个只读属性，值永远为-1。