Cookie的相关概念

key - Cookie名称，Cookie名称必须使用只能用在URL中的字符，一般用字母及数字，不能包含特殊字符，如有特殊字符想要转码。如js操作cookie的时候可以使用escape()对名称转码。

value - Cookie值，Cookie值同理Cookie的名称，可以进行转码和加密。

Expires，过期日期，一个GMT格式的时间，当过了这个日期之后，浏览器就会将这个Cookie删除掉，当不设置这个的时候，Cookie在浏览器关闭后消失。

Path，一个路径，在这个路径下面的页面才可以访问该Cookie，一般设为“/”，以表示同一个站点的所有页面都可以访问这个Cookie。

Domain，子域，指定在该子域下才可以访问Cookie，例如要让Cookie在a.test.com下可以访问，但在b.test.com下不能访问，则可将domain设置成a.test.com。

Secure，安全性，指定Cookie是否只能通过https协议访问，一般的Cookie使用HTTP协议既可访问，如果设置了Secure（没有值），则只有当使用https协议连接时cookie才可以被页面访问。

HttpOnly，如果在Cookie中设置了”HttpOnly”属性，那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息。为了解决XSS（跨站脚本攻击）的问题，IE6开始支持cookie的HttpOnly属性，这个属性目前已被大多数浏览器（IE、FF、Chrome、Safari）所支持。当cookie中的HttpOnly属性被设置为true时（最后第7位），前端脚本就无法访问或操作cookie了（只能通过后台访问），这样XSS就失效了。 HttpOnly会话cookie支持的浏览器，将仅用于发送HTTP（或HTTPS）请求时，从而限制从其他非HTTP的API（如JavaScript）访问。减轻此限制，但会议通过跨站点脚本（XSS）的cookie盗窃的威胁并没有消除。此功能仅适用于会话管理的cookie，而不是其他的浏览器的cookies。因为httponly作用只是限制从其他非HTTP的API（如JavaScript）访问，cookie还是有可能传递的过程中被监听捕获后信息泄漏。