node中的HTTP模塊會(huì)將所有的報(bào)文字段解析到 req.headers 上,那么Cookie就是 req.headers.cookie 。根據(jù)規(guī)范中的定義,Cookie值的格式是 key=value; key2=value2 形式的,如果我們需要Cookie,解析它也十分容易,如下所示:
let parseCookie = (cookie) => {
let cookies = {};
if (!cookie) {
return cookies;
}
let list = cookie.split(';');
for (let i = 0; i < list.length; i++) {
let pair = list[i].split('=');
cookies[pair[0].trim()] = pair[1];
}
return cookies;
};
function handle (req, res) {
req.cookies = parseCookie(req.headers.cookie);
// 處理請(qǐng)求
}
響應(yīng)的Cookie值在 Set-Cookie 字段中。它的格式與請(qǐng)求中的格式不太相同,規(guī)范中對(duì)它的定義如下所示:
Set-Cookie: name=value; Path=/; Expires=Sun, 23-Apr-23 09:01:35 GMT; Domain=.domain.com;
其中 name=value 是必須包含的部分,其余部分皆是可選參數(shù)。這些可選參數(shù)將會(huì)影響瀏覽器在后續(xù)將Cookie發(fā)送給服務(wù)器端的行為。以下為主要的幾個(gè)選項(xiàng)。
-
path表示這個(gè)Cookie影響到的路徑,當(dāng)前訪問(wèn)的路徑不滿足該匹配時(shí),瀏覽器則不發(fā)送這個(gè)Cookie。 -
Expires和Max-Age是用來(lái)告知瀏覽器這個(gè)Cookie何時(shí)過(guò)期的,如果不設(shè)置該選項(xiàng),在關(guān)閉瀏覽器時(shí)會(huì)丟失掉這個(gè)Cookie。如果設(shè)置了過(guò)期時(shí)間,瀏覽器將會(huì)把Cookie內(nèi)容寫(xiě)入到磁盤(pán)中并保存,下次打開(kāi)瀏覽器依舊有效。Expires的值是一個(gè)UTC格式的時(shí)間字符串,告知瀏覽器此Cookie何時(shí)將過(guò)期,Max-Age則告知瀏覽器此Cookie多久后過(guò)期。前者一般而言不存在問(wèn)題,但是如果服務(wù)器端的時(shí)間和客戶(hù)端的時(shí)間不能匹配,這種時(shí)間設(shè)置就會(huì)存在偏差。為此,Max-Age告知瀏覽器這條Cookie多久之后過(guò)期,而不是一個(gè)具體的時(shí)間點(diǎn)。 -
HttpOnly告知瀏覽器不允許通過(guò)腳本document.cookie去更改這個(gè)Cookie值,事實(shí)上,設(shè)置HttpOnly之后,這個(gè)值在document.cookie中不可見(jiàn)。但是在HTTP請(qǐng)求的過(guò)程中,依然會(huì)發(fā)送這個(gè)Cookie到服務(wù)器端。 -
Secure。當(dāng)Secure值為true時(shí),在HTTP中是無(wú)效的,在HTTPS中才有效,表示創(chuàng)建的Cookie只能在HTTPS連接中被瀏覽器傳遞到服務(wù)器端進(jìn)行會(huì)話驗(yàn)證,如果是HTTP連接則不會(huì)傳遞該信息,所以很難被竊聽(tīng)到。
知道Cookie在報(bào)文頭中的具體格式后,下面我們將Cookie序列化成符合規(guī)范的字符串,相關(guān)代碼如下:
let serialize = function (name, val, opt) {
let pairs = [`${name}=${val}`];
opt = opt || {};
if (opt.maxAge) pairs.push('Max-Age = ' + opt.maxAge);
if (opt.domain) pairs.push('Domain=' + opt.domain);
if (opt.path) pairs.push('Path=' + opt.path);
if (opt.expires) pairs.push('Expires=' + opt.expires.toUTCString());
if (opt.httpOnly) pairs.push('HttpOnly');
if (opt.secure) pairs.push('Secure');
return pairs.join('; ');
};
客戶(hù)端收到這個(gè)帶 Set-Cookie 的響應(yīng)后,在之后的請(qǐng)求時(shí)會(huì)在Cookie字段中帶上這個(gè)值。值得注意的是, Set-Cookie 是較少的,在報(bào)頭中可能存在多個(gè)字段。為此 res.setHeader 的第二個(gè)參數(shù)可以是一個(gè)數(shù)組,如下所示:
res.setHeader('Set-Cookie', [serialize('foo', 'bar'), serialize('baz', 'val')])
Cookie的性能影響
- 減小Cookie的大小
- 為靜態(tài)組件使用不同的域名
- 減少DNS查詢(xún)
