Куки — это небольшие фрагменты данных, которые сервер отправляет в браузер пользователя и которые браузер сохраняет. При следующем запросе к тому же серверу браузер отправляет эти куки обратно.

Работа куки происходит по следующему принципу:

Сервер отправляет куки: При первом запросе клиента к серверу, сервер может включить в HTTP-ответ заголовок Set-Cookie. Этот заголовок содержит имя, значение, срок действия и другие атрибуты куки.
Браузер сохраняет куки: Браузер получает HTTP-ответ от сервера, обнаруживает заголовок Set-Cookie и сохраняет данные куки.
Браузер отправляет куки: При последующих запросах к тому же домену (или поддоменам, в зависимости от атрибута domain), браузер автоматически добавляет заголовок Cookie к HTTP-запросу, содержащий сохраненные куки для этого домена.

Атрибуты куки определяют их поведение:

Expires или Max-Age: Определяют срок действия куки. Если не заданы, куки сессионные (удаляются при закрытии браузера).
Domain: Указывает домен, для которого куки доступны.
Path: Указывает путь на сервере, для которого куки доступны.
Secure: Куки отправляются только по HTTPS.
HttpOnly: Куки недоступны скриптам (например, JavaScript), что повышает безопасность от XSS-атак.
SameSite: Определяет, когда куки должны отправляться с кросс-сайтовыми запросами (Strict, Lax, None).

Пример заголовка Set-Cookie:

http

Пример заголовка Cookie в последующем запросе:

http

Куки используются для:

Управления сессиями пользователя (вход в систему).
Запоминания предпочтений пользователя (язык, тема).
Отслеживания активности пользователя (аналитика, реклама).

Как работают куки?