管理服务器与客户端之间状态的Cookie，虽然没有被编入标准化HTTP/1.1的RFC2616中，但在Web网站方面得到了广泛的应用。

Cookie的工作机制是用户识别及状态管理。Web网站为了管理用户的状态，会通过Web浏览器把一些数据临时写入用户的计算机内。当用户访问该Web网站时，可通过通信方式取回之前存放的Cookie。

调用Cookie时，由于可校验Cookie的有效期，以及发送方的域、路径、协议等信息，所以正规发布的Cookie内的数据不会因来自其他Web站点和攻击者的攻击而泄露。

Cookie有关的首部字段包括：

• Set-Cookie。是开始状态管理所使用是Cookie信息，属于响应首部字段。

• Cookie。是服务器接收到的Cookie信息，属于请求首部字段。
  

当服务器准备开始管理客户端的状态时，会事先告知各种信息。

Set-Cookie: status=enable; expires=Wed, 06 Jul 2022 07:26:31 GMT; =>
path=/; domain=.pnotes.cn;

下面列举了Set-Cookie的字段值：

1、expires属性。Cookie的expires属性指定浏览器可发送Cookie的有效期。一旦Cookie从服务器端发送至客户端，服务器端就不存在可以显式删除Cookie的方法。但可通过覆盖已过期的Cookie，实现对客户端Cookie的实质性删除操作。

2、domain属性。通过Cookie的domain属性指定的域名可做到与结尾匹配一致。比如，当指定example.com后，除example.com以外，www.example.com或www2.example.com等都可以发送Cookie。因此，除了针对具体指定的多个域名发送Cookie之外，不指定domain属性显得更安全。

3、secure属性。Cookie的secure属性用于限制Web页面仅在HTTPS安全连接时才可以发送Cookie。当省略secure属性时，不论HTTP还是HTTPS，都会对Cookie进行回收。

4、HttpOnly属性。Cookie的HttpOnly属性是Cookie的扩展功能，它使JavaScript脚本无法获得Cookie。其主要目的为防止跨站脚本攻击（Cross-site scripting,XSS）对Cookie的信息窃取。

首部字段Cookie会告知服务器，当客户端想获得HTTP状态管理支持时，就会在请求中包含从服务器接收到的Cookie。接收到多个Cookie时，同样可以以多个Cookie形式发送。

Cookie: status=enable