Как работают куки?

Куки — это небольшие фрагменты данных, которые сервер отправляет в браузер пользователя и которые браузер сохраняет. При следующем запросе к тому же серверу браузер отправляет эти куки обратно.

Работа куки происходит по следующему принципу:

1. Сервер отправляет куки: При первом запросе клиента к серверу, сервер может включить в HTTP-ответ заголовок Set-Cookie. Этот заголовок содержит имя, значение, срок действия и другие атрибуты куки.
2. Браузер сохраняет куки: Браузер получает HTTP-ответ от сервера, обнаруживает заголовок Set-Cookie и сохраняет данные куки.
3. Браузер отправляет куки: При последующих запросах к тому же домену (или поддоменам, в зависимости от атрибута domain), браузер автоматически добавляет заголовок Cookie к HTTP-запросу, содержащий сохраненные куки для этого домена.

Атрибуты куки определяют их поведение:

• Expires или Max-Age: Определяют срок действия куки. Если не заданы, куки сессионные (удаляются при закрытии браузера).
• Domain: Указывает домен, для которого куки доступны.
• Path: Указывает путь на сервере, для которого куки доступны.
• Secure: Куки отправляются только по HTTPS.
• HttpOnly: Куки недоступны скриптам (например, JavaScript), что повышает безопасность от XSS-атак.
• SameSite: Определяет, когда куки должны отправляться с кросс-сайтовыми запросами (Strict, Lax, None).

Пример заголовка Set-Cookie:

Set-Cookie: sessionid=abcdef123456; Expires=Wed, 30 Aug 2023 00:00:00 GMT; HttpOnly; Secure

Пример заголовка Cookie в последующем запросе:

Cookie: sessionid=abcdef123456

Куки используются для:

• Управления сессиями пользователя (вход в систему).
• Запоминания предпочтений пользователя (язык, тема).
• Отслеживания активности пользователя (аналитика, реклама).