Traducción en curso
Resumen
Con document.cookie se obtienen y definen las cookies asociadas con el documento.
Sintaxis
Leer todas las cookies accesibles desde una localización
todasLasCookies = document.cookie;
En el código anterior todasLasCookies es una cadena que contiene una lista de todas las cookies separadas por punto y coma (en pares clave=valor). Tenga en cuenta que clave y valor pueden estar rodeadas por espacios en blanco (caracteres espacio y tb): de hecho RFC 6265 especifica que debe haber un espacio en blanco después de cada punto y coma (;), pero algunos agentes de usuario no son muy estrictos con esto.
Escribir una nueva cookie
document.cookie = nuevaCookie;
En el código anterior, nuevacookie es una cadena de la forma clave=valor. Tenga en cuenta que solo se puede crear o actualizar una cookie de cada vez mediante este método.
- Cualquiera de los siguientes atributos opcionales se puede escribir después del par clave-valor, especificando la cookie que se va a crear o actualizar, precedidos de un punto y coma.
;path=path(p. ej.: '/'. '/midir'). Si no se especifica, por defecto corresponde a la ruta del documento actual.
La ruta debe ser absoluta (ver RFC 6265). Para más información sobre cómo utilizar rutas relativas, ir a este párrafo.;domain=domain(p. ej. 'example.com', 'subdomain.example.com'). Si no se especifica, su valor por defecto es la porción de la dirección web de la ubicación actual del archivo. A diferencia de lo que ocurría en las primeras especificaciones, los puntos iniciales de los nombre de dominio se ignoran, pero los navegadores pueden impedir crear cookies que contengan dichos puntos. Si se especifica un dominio, los subdominios siempre son incluidos.;max-age=duración-máxima-en-segundosPor ejemplo: 60*60*24*365 para un año.;expires=fecha-en-formato-GMTStringSi no se especificamax-ageniexpires, la cookie expirará al terminar la sesión actual.;secureLa cookie sólo será transmitida en un protocolo seguro (HTTPS, SSL). Antes de Chrmoe 52, este atributo pudía aparecer con cookes de dominios http.;samesiteEste atributo impide al navegador enviar esta cooie a través de peticiones cross-site. Los valores posibles son lax o strict. El soporte de este atributo se añadió en Chrome 51.- El valor
strictimpide que la cookie sea enviada por el navegador al sitio destino en contexto de navegador cross-site, incluso cuando sigue un enlace regular. - El valor
laxsólo envía cookies a las peticiones de GET de ALTO NIVEL. Es suficiente para seguir al usuario, pero evitará muchos ataques CSRF.
- El valor
- El valor de la cookie puede ser evaluado mediante encodeURIComponent() para asegurarse de que dicha cadena no incluya comas, punto y coma, ni espacios en blanco (lo cual no está permitido en el valor de una cookie).
Ejemplos
Ejemplo # 1: Uso sencillo
document.cookie = "name=oeschger"; document.cookie = "favorite_food=tripe"; alert(document.cookie); // visualizar: name=oeschger;favorite_food=tripe
Seguridad
Es importante mencionar que la restricción path no protege contra la lectura no autorizada de cookies de una ruta distinta. Puede ser fácilmente resuelto mediante DOM (por ejemplo creando un iframe oculto con la ruta de la cookie y accediendo a la propiedad contentDocument.cookie del iframe). La única manera de proteger el acceso a cookies es ocupando un dominio o subdominio diferente, debido a la política de mismo origen.
Notas
- Empezando con Firefox 2, está disponible un mejor mecanismo de almacenamiento en cliente - WHATWG DOM Storage.
- Puedes eliminar una cookie simplemente estableciendo su fecha de expiración a cero.
- Cabe mencionar que entre más cookies se tengan, mayor cantidad de datos serán transferidos entre el servidor y el cliente en cada solicitud. Esto reducirá el tiempo entre cada solicitud. Es altamente recomendado que se utilice WHATWG DOM Storage si se van a mantener los datos solamente en el cliente.