node中的HTTP模块会将所有的报文字段解析到 req.headers 上,那么Cookie就是 req.headers.cookie 。根据规范中的定义,Cookie值的格式是 key=value; key2=value2 形式的,如果我们需要Cookie,解析它也十分容易,如下所示:
let parseCookie = (cookie) => {
let cookies = {};
if (!cookie) {
return cookies;
}
let list = cookie.split(';');
for (let i = 0; i < list.length; i++) {
let pair = list[i].split('=');
cookies[pair[0].trim()] = pair[1];
}
return cookies;
};
function handle (req, res) {
req.cookies = parseCookie(req.headers.cookie);
// 处理请求
}
响应的Cookie值在 Set-Cookie 字段中。它的格式与请求中的格式不太相同,规范中对它的定义如下所示:
Set-Cookie: name=value; Path=/; Expires=Sun, 23-Apr-23 09:01:35 GMT; Domain=.domain.com;
其中 name=value 是必须包含的部分,其余部分皆是可选参数。这些可选参数将会影响浏览器在后续将Cookie发送给服务器端的行为。以下为主要的几个选项。
-
path表示这个Cookie影响到的路径,当前访问的路径不满足该匹配时,浏览器则不发送这个Cookie。 -
Expires和Max-Age是用来告知浏览器这个Cookie何时过期的,如果不设置该选项,在关闭浏览器时会丢失掉这个Cookie。如果设置了过期时间,浏览器将会把Cookie内容写入到磁盘中并保存,下次打开浏览器依旧有效。Expires的值是一个UTC格式的时间字符串,告知浏览器此Cookie何时将过期,Max-Age则告知浏览器此Cookie多久后过期。前者一般而言不存在问题,但是如果服务器端的时间和客户端的时间不能匹配,这种时间设置就会存在偏差。为此,Max-Age告知浏览器这条Cookie多久之后过期,而不是一个具体的时间点。 -
HttpOnly告知浏览器不允许通过脚本document.cookie去更改这个Cookie值,事实上,设置HttpOnly之后,这个值在document.cookie中不可见。但是在HTTP请求的过程中,依然会发送这个Cookie到服务器端。 -
Secure。当Secure值为true时,在HTTP中是无效的,在HTTPS中才有效,表示创建的Cookie只能在HTTPS连接中被浏览器传递到服务器端进行会话验证,如果是HTTP连接则不会传递该信息,所以很难被窃听到。
知道Cookie在报文头中的具体格式后,下面我们将Cookie序列化成符合规范的字符串,相关代码如下:
let serialize = function (name, val, opt) {
let pairs = [`${name}=${val}`];
opt = opt || {};
if (opt.maxAge) pairs.push('Max-Age = ' + opt.maxAge);
if (opt.domain) pairs.push('Domain=' + opt.domain);
if (opt.path) pairs.push('Path=' + opt.path);
if (opt.expires) pairs.push('Expires=' + opt.expires.toUTCString());
if (opt.httpOnly) pairs.push('HttpOnly');
if (opt.secure) pairs.push('Secure');
return pairs.join('; ');
};
客户端收到这个带 Set-Cookie 的响应后,在之后的请求时会在Cookie字段中带上这个值。值得注意的是, Set-Cookie 是较少的,在报头中可能存在多个字段。为此 res.setHeader 的第二个参数可以是一个数组,如下所示:
res.setHeader('Set-Cookie', [serialize('foo', 'bar'), serialize('baz', 'val')])
Cookie的性能影响
- 减小Cookie的大小
- 为静态组件使用不同的域名
- 减少DNS查询
网友评论