JavaScript通过document.cookie字符串接口操作Cookie:写入需拼接key=value及属性(如expires、path);读取需split解析并解码;删除需覆盖写入过期同名Cookie。
JavaScript 中操作 Cookie 主要通过 document.cookie 实现,它是一个字符串接口,读写都依赖对字符串的解析与拼接。虽然原生方式略显繁琐,但理解其原理对调试和兼容性处理很有帮助。
如何写入 Cookie
写入 Cookie 是给 document.cookie 赋值一个符合格式的字符串。基本语法为:key=value; expires=GMTString; path=/; domain=example.com; secure; HttpOnly(注意:HttpOnly 无法通过 JS 设置)。
- 必须指定
value,且建议对值使用encodeURIComponent()编码,避免特殊字符(如空格、分号、逗号)导致截断 -
expires或max-age决定有效期;不设置则为会话 Cookie(关闭浏览器即失效) -
path默认是当前路径,设为/可让整个域名下都能访问 -
secure表示仅在 HTTPS 下发送(可选,写入时直接加字段即可)
示例:
document.cookie = "username=john; expires=" + new Date(Date.now() + 24 * 60 * 60 * 1000).toUTCString() + "; path=/; secure";
如何读取 Cookie
document.cookie 返回的是一个以分号加空格("; ")分隔的字符串,例如:"a=1; b=2; c=hello%20world"。需手动解析才能获取指定 key 的 value。
- 先用
split('; ')拆成键值对数组 - 再遍历,用
indexOf或正则匹配目标 key(注意边界,避免user匹配到username) - 对 value 调用
decodeURIComponent()解码
简易读取函数示例:
function getCookie(name) {
const cookies = document.cookie.split('; ');
for (let cookie of cookies) {
const [key, value] = cookie.split('=');
if (key === name) return decodeURIComponent(value);
}
return undefined;
}如何删除 Cookie
删除 Cookie 并非调用某个方法,而是通过覆盖写入一个**已过期**的同名 Cookie(相同 domain、path、secure 等属性)。
- 将
expires设为过去的时间(如Thu, 01 Jan 1970 00:00:00 GMT) - 确保
path和domain与写入时一致,否则可能删不掉 - 若原 Cookie 是
secure的,删除时也需带上secure
示例:
document.cookie = "username=; expires=Thu, 01 Jan 1970 00:00:00 GMT; path=/; secure";
实用建议与注意事项
- Cookie 总大小限制约 4KB,不适合存大量数据;敏感信息不应存 Cookie,尤其未设
HttpOnly和Secure - 跨子域共享需统一设置
domain=.example.com(注意开头的点),且主域不能设为localhost - 现代项目推荐优先使用
localStorage或sessionStorage存前端状态,Cookie 仅用于身份凭证等后端必需场景 - 开发中可用浏览器开发者工具 → Application → Cookies
查看和手动编辑,便于验证
查看和手动编辑,便于验证
