现代浏览器优先使用 max-age,它以秒为单位、更精确且不受客户端时钟影响;expires 是绝对时间字符串,设备时间错误会导致失效;开发中建议统一用 max-age,仅兼容老旧环境时回退到 expires。
JavaScript 设置 Cookie 过期时间用 expires 还是 max-age?
现代浏览器优先支持 max-age,它以秒为单位,更精确、不受客户端时钟影响;expires 是绝对时间字符串(如 Wed, 21 Oct 2025 07:28:00 GMT),一旦用户设备时间错误,Cookie 可能立即失效或永不删除。开发中建议统一用 max-age,仅在需兼容 IE 等老旧环境时回退到 expires。
document.cookie 写入时如何指定过期时间?
必须把过期参数拼在字符串末尾,且各属性间用分号 + 空格分隔。不能只写 max-age=3600,必须带上分号前缀和空格;也不能漏掉 path=/(否则默认为当前路径,跨路由可能读不到)。
-
max-age值为整数,单位是秒,设为0或负数表示立即删除 -
expires必须是符合 RFC 1123 格式的 GMT 时间字符串,可用new Date().toUTCString()生成 - 若同时指定
max-age和expires,现代浏览器以max-age为准
document.cookie = "theme=dark; max-age=86400; path=/; domain=.example.com; secure; SameSite=Lax";
封装一个安全可靠的 setCookie 函数
手动拼接容易出错:比如忘记 path=/ 导致子路径下读不到,或 domain 缺少前置点导致跨子域失败。封装时应默认补全关键字段,并对值做 URI 编码(避免特殊字符破坏 Cookie 结构)。
-
encodeURIComponent()必须用于value,但不要对key编码(标准不允许) -
domain若填example.com,则sub.example.com无法访问;应写成.example.com -
secure仅在 HTTPS 下生效,开发环境 HTTP 时别加,否则写入失败且无提示
function setCookie(key, value, options = {}) {
const { expires, maxAge, path = '/', domain, secure = false, sameSite = 'Lax' } = options;
let cookieStr = `${encodeURIComponent(key)}=${encodeURIComponent(value)}`;
cookieStr += `; path=${path}`;
if (domain) cookieStr += `; domain=${domain}`;
if (maxAge) cookieStr += `; max-age=${maxAge}`;
if (expires) cookieStr += `; expires=${expires.toUTCString()}`;
if (secure) cookieStr += '; secure';
if (sameSite) cookieStr += `; SameSite=${sameSite}`;
document.cookie = cookieStr;
}
// 使用示例:1 小时后过期,允许子域访问
setCookie('token', 'abc123', {
maxAge: 3600,
domain: '.example.com',
secure: location.protocol === 'https:'
});
为什么设置了 max-age 却不生效?
最常见原因是写入时路径或域名不匹配,导致浏览器认为这是另一个 Cookie,旧的仍存在。可以用浏览器 DevTools 的 Application → Cookies 面板确认实际写入的 Domain、Path 和 Expires/Max-Age 字段是否符合预期。
经过一段时间的开发,以及内部测试,同程网联盟景区新版程序正式发布推出,感谢广大联盟会员一直以来的支持与关注! 同程网联盟景区新版程序新功能介绍:1.统一的页面风格。页面风格将与随后推出的度假线路、酒店、机票以及融合版联盟程序风格保持一直;2.新增后台管理系统。可更加方便快捷的对网站进行个性化设置;3.动态与伪静态切换。后台操作,简单便捷;4.缓存管理。新增缓存,提高网站访问速度,后台可定期清理;5
立即学习“Java免费学习笔记(深入)”;
- 检查
document.cookie赋值后是否真的执行了——某些框架(如 Vue 3 的 SSR)中,客户端脚本可能未运行 - 如果页面在 iframe 中,且父页启用了
SameSite=Strict,第三方 Cookie 可能被拦截 - Chrome 91+ 对
SameSite=None强制要求secure,漏掉会静默失败
真正难调试的不是语法,而是 Cookie 的作用域规则和浏览器策略叠加后的表现。每次修改都该打开 DevTools 看一眼真实写入结果,而不是只信代码逻辑。
