Cookie是個古老的技術(shù)，大家都非常熟悉。知道什么是HostOnly Cookie的人相對就少了很多，本文主要探討下這個話題。先從最基礎(chǔ)的開始~

怎么使用Cookie？

通常我們有兩種方式給瀏覽器設(shè)置或獲取Cookie，分別是HTTP Response Headers中的Set-Cookie Header和HTTP Request Headers中的Cookie Header，以及通過JavaScript對document.cookie進行賦值或取值。

rfc6265第5.2節(jié)定義的Set-Cookie Header，除了必須包含Cookie正文，還可以選擇性包含6個屬性path、domain、max-age、expires、secure、httponly，它們之間用英文分號和空格（"; "）連接。

Cookie的正文部分，是由&連接的key=value鍵值對字符串，類似于url中的查詢字符串。下面是一個標準的Set-Cookie Header：

Set-Cookie: key=value; path=path; domain=domain; max-age=max-age-in-seconds; expires=date-in-GMTString-format; secure; httponly

在瀏覽器端，通過document.cookie也可以設(shè)置Cookie，以MDC文檔為例，Cookie的內(nèi)容除了必須包含正文之外，還可選5個屬性：path、domain、max-age、expires、secure。下面是簡單的示例：

document.cookie = "key=value; path=path; domain=domain; max-age=max-age-in-seconds; expires=date-in-GMTString-format; secure"; 

有兩點需要說明：

• max-age作為對expires的補充，現(xiàn)階段有兼容性問題（IE低版本不支持），所以一般不單獨使用；
• JS中設(shè)置Cookie和HTTP方式相比較，少了對HttpOnly的控制，是因為JS不能讀寫HttpOnly Cookie；

我在各瀏覽器測試后發(fā)現(xiàn)， 如果不考慮HttpOnly，通過JS或HTTP方式設(shè)置的Cookie沒有區(qū)別；通過JS或HTTP方式獲取到的Cookie內(nèi)容也是一樣的。所以本文后續(xù)測試中，不需要注明是通過何種方式操作的Cookie。

什么是HostOnly Cookie？

rfc6265第5.3節(jié)定義了瀏覽器存放每個Cookie時應(yīng)該包括這些字段：name、value、expiry-time、domain、path、creation-time、last-access-time、persistent-flag,、host-only-flag、secure-only-flag和http-only-flag。

其中：

• name、value：由Cookie正文指定；
• expiry-time：根據(jù)Cookie中的expires和max-age產(chǎn)生；
• domain、path：分別由Cookie中的domain和path指定；
• creation-time、last-access-time：由瀏覽器自行獲得；
• persistent-flag：持久化標記，在expiry-time未知的情況下為false，表示這是個session cookie；
• secure-only-flag：在Cookie中包含secure屬性時為true，表示這個cookie僅在https環(huán)境下才能使用；
• http-only-flag：在Cookie中包含httponly屬性時為true，表示這個cookie不允許通過JS來讀寫；
• host-only-flag：在Cookie中不包含Domain屬性，或者Domain屬性為空，或者Domain屬性不合法（不等于頁面url中的Domain部分、也不是頁面Domain的大域）時為true。此時，我們把這個Cookie稱之為HostOnly Cookie；

那么host-only-flag如果為true會怎樣呢？rfc6265里有這么一段：

Either:
The cookie's host-only-flag is true and the canonicalized request-host is identical to the cookie's domain.

Or:?
The cookie's host-only-flag is false and the canonicalized request-host domain-matches the cookie's domain.

獲取Cookie時，首先要檢查Domain匹配性，其次才檢查path、secure、httponly等屬性的匹配性。如果host-only-flag為true時，只有當前域名與該Cookie的Domain屬性完全相等才可以進入后續(xù)流程；host-only-flag為false時，符合域規(guī)則（domain-matches）的域名都可以進入后續(xù)流程。

舉個例子，host-only-flag為true時，Domain屬性為example.com的Cookie只有在example.com才有可能獲取到；host-only-flag為false時，Domain屬性為example.com的Cookie，在example.com、www.example.com、sub.example.com等等都可能獲取到。

下面，我們來研究下各瀏覽器對HostOnly Cookie，也就是Cookie的host-only-flag屬性的支持情況。

支持度測試

在qgy18.com，設(shè)置如下HostOnly Cookie:

name=ququ; expires=Tue, 10-Jul-2013 08:30:18 GMT; path=/

訪問www.qgy18.com，獲取Cookie，結(jié)果如下：

小結(jié)：

IE系列（表中只列了IE6和10，實際上IE6-IE10都測過）不支持HostOnly Cookie。在qgy18.com設(shè)置的Cookie，www.qgy18.com可以直接獲取到。

其它瀏覽器支持HostOnly Cookie。本測試中，對于非IE：獲取Cookie的頁面Domain是www.qgy18.com，由于設(shè)置Cookie時沒有指定Domain，按照前面的規(guī)則，host-only-flag為true，Cookie的Domain屬性是qgy18.com，二者不完全匹配，所以獲取不到這個Cookie。

對于非HostOnly Cookie，例如在qgy18.com設(shè)置Cookie時指定Domain為qgy18.com，在www.qgy18.com可以獲取到這個Cookie，這時候host-only-flag為false。

Cookie覆蓋測試

在www.qgy18.com，設(shè)置以下3條Cookie：

1、name=ququ1; expires=Tue, 10-Jul-2013 08:30:18 GMT; path=/
2、name=ququ2; expires=Tue, 10-Jul-2013 08:30:18 GMT; path=/; domain=.www.qgy18.com
3、name=ququ3; expires=Tue, 10-Jul-2013 08:30:18 GMT; path=/; domain=www.qgy18.com

訪問www.qgy18.com，獲取Cookie，結(jié)果如下：

規(guī)范里有兩點規(guī)定需要先說明下：

1. 設(shè)置Cookie時，Domain屬性值如果是.a.com，前面的.會被去掉，變成a.com（rfc6265第5.2.3節(jié)）；
2. 對于name、path和domain均相同的Cookie，后面的覆蓋前面的（rfc6265第5.3節(jié)第10段）；

小結(jié)：

由于IE系列不支持HostOnly Cookie，三個語句對于IE來說是完全一樣的（1沒有指定Domain，自動使用請求頭中的Host或者頁面url中的Domain部分作為Cookie的Domain屬性，都是www.qgy18.com），后面覆蓋前面，只剩下name=ququ3；

分歧出在Presto內(nèi)核的Opera與Chrome、Safari和Firefox之間：Opera認為三個語句的name、path和domain均相同，產(chǎn)生了跟IE一樣的結(jié)果；其它瀏覽器認為host-only-flag為true的Domain和其它兩個不同，所以只有語句3可以覆蓋2，剩下1和3；

從各自控制臺展示的Cookie信息印證了這一點：

Chrome、Safari和Firefox都把HostOnly Cookie的Domain顯示為真正的Domain，非HostOnly Cookie的Domain前面多加了一個英文句號.。這樣，前面的結(jié)果似乎也解釋得過去：對于Chrome、Safari和Firefox，由于.的存在，第1條語句的Domain和其它兩個確實不一樣，不會被覆蓋。

Chrome 29.0.1547.3 dev

Firefox 22.0

Safari 7.0

Opera 12.15

IE 10.0.9200.16438

大家應(yīng)該注意到了：本節(jié)測試中，Safari獲取到的Cookie順序與其它瀏覽器不一樣。這是個大隱患，無論是用JS還是HTTP獲取這個Demo里的Cookie，都會在Safari下得到不一樣的結(jié)果。Cookie的優(yōu)先級問題我打算找時間詳細測試下，再單獨討論。

結(jié)論

在我測試過的瀏覽器中：

• 除開IE，Chrome/Firefox/Safari/Opera都支持HostOnly Cookie，可以限制Cookie只有在Domain完全匹配時才可用；
• Opera的HostOnly Cookie會被domain、path和name相同的非HostOnly Cookie覆蓋；
• Chrome/Firefox/Safari中，非HostOnly Cookie的Domain屬性前面多了一個.，與沒有.的HostOnly Cookie不存在覆蓋的可能；
• 同名Cookie優(yōu)先級存在瀏覽器差異，實際項目中應(yīng)該避免出現(xiàn)同名Cookie；

之前有同學(xué)問過Chrome開發(fā)工具看到的Cookie為什么有些前面有.，有些沒有？經(jīng)過前面的分析，大家應(yīng)該都知道原因了吧。

另外，想不通為什么host-only-flag，沒有像http-only-flag或secure-only-flag一樣，有對應(yīng)的屬性可以直接設(shè)置呢？

感謝

HostOnly Cookie這個概念我是從Franky教主處得知的，這篇文章也是源自于向教主的討教后自己的一些嘗試，在此特別感謝Franky教主。

原文鏈接：https://imququ.com/post/host-only-cookie.html