cookie规范（RFC 6265）翻译

[renaesop]

RFC 6265 要点翻译

1.简介

本文档定义了HTTP Cookie以及HTTP头的Set－Cookie字段。通过使用Set－Cookie头，一个HTTP服务器可以传递name/value键值对以及相对应的元数据（所谓的cookies）到user agent。当user agent向服务器发送后续请求时，user agent会根据元数据和其他信息来决定是否要在Cookie头中返回name/value键值对。

虽然表面上看起来很简单, 但时cookies有很多复杂的地方。例如，服务器在向user agent发送cookie时，对每个cookie会设定一个作用域。 作用域制定了user agent回传cookie的规则：cookie需要回传的最大期限，需要回传cookie到哪些服务器，以及需要应用到哪些模式的URI上。

由于历史原因，cookie包含许多在安全性和隐私上不恰当的地方。例如，服务器可以指定一个给出的cookie字段需要“安全的”连接，但是安全属性并没有保证在存在网络中间人攻击时cookie的完整性。相似的是，给定host的cookies将会被这个host上的所有端口共享，尽管通常来说，浏览器所用的“同源策略”会将从不同端口上取回的东西孤立开来。

这份标准有两类受众：会生产cookie的web服务器的开发者，以及会消费cookie的user agent的开发者。

为了最大化在user agent中的通用性，web服务器在生成cookie时应该把他们自身限制为一个在第4章定义的良好的实现者。

User agent必须实现比第5章中定义的更加宽松的规则，以达到最大化和现有的不符合第4章定义的良好实现者的服务器的互通性。

这份文档说明了在互联网上经常被使用的头的句法和语义。特别地，这份文档并没有创造新的句法和语义。对cookie生成的推荐标准在第4章提供，表述了一些现有服务器行为的子集，在第5章中表述了一些今天并不被推荐的句法和语义，更加宽松的cookie处理算法。某些现存软件的实现和推荐的协议有一些重大的不同，这份文档也包含了一份解释这些不同的内容。

在这份文档之前，至少存在着三份不同的cookie描述：所谓的“Netscape cookie 标准”，RFC 2109， RFC2965。然而，这些文档都没有描述Cookie和Set-Cookie头是如何在互联网上被使用的。根据之前IETF的HTTP状态管理机制的标准，这份文档请求下列操作：

[]将RFC2109的状态改为Historic（已经被RFC2965废止）
[]将RFC2965的状态改为Historic
[]指定RFC2965已经被这份文档废止

特别的是，通过将RFC2965移到Historic并且将其废止，这份文档反对使用Cookie2和Set-Cookie2头。

2.约定

2.1. 一致标准

此处略去几百字

2.2. 句法注解

本文档使用扩充巴科斯范式（ABNF），在RFC5234中有注释。

下列在RFC5234中定义的核心规则被引用，ALPHA（字母），CR（回车），CRLF（CR LF），CTLs(控制字符)，DIGIT（数字0-9），DQUOTE（双引号），HEXDIG（十六进制元素 0-9/A-F/a-f），LF（换行符），NUL（空八比特），OCTET（除了NUL以外的所有八比特串），SP（空格），HTAB（水平制表符），CHAR（任意ascii码字符），VCHAR（任意可见的ascii码字符），以及WSP（空白符）。

OWS（可选空白符）规则被用在0个或更多的线性空白符可能出现的场合：

OWS = *（[obs-fold]WSP）

obs-fold = CRLF

OWS应该要么不产生要么就产生为一个单独的SP字符。

2.3. 术语

下列术语：user agent，client，server，proxy，origin server（源服务器）和HTTP/1.1标准（RFC2616，1.3节）中的含义相同。

术语request-host是指host的名字，也就是已经被user agent所知的，对user agent来说发送HTTP请求的目的地，或者接收HTTP响应的来源。（也就是发送相应的HTTP请求的host名字）。

术语request-uri已经在RFC2616的5.1.2节中定义。

两个八比特的序列被称为大小写不敏感地相同，当且仅当他们在RFC4790中定义的大小写映射关系被满足时成立。

术语字符串意思是一个非NUL的八位bit序列。

3.概述

这一节概括了一种源服务器将状态信息传递给user agent的方式，也包含了一种user agent将状态信息回传服务器的方式。

为了存储状态，源服务器在HTTP响应中包含了一个Set-Cookie头。在后续的请求中，user agent将回传一个Cookie请求头到源服务器。Cookie头包含了user agent在前面Set-Cookie头中包含的cookie。源服务器可以选择忽略Cookie头或将Cookie用于应用所定义的目的。

源服务器可以在任何响应中发送Set-Cookie响应头。user agent可以在响应码为1xx的请求中忽略Set-Cookie，但必须在除此以外的任何种类响应中处理Set-Cookie（包括响应码为4xx和5xx的响应）。源服务器可以在单个请求的响应中包含多个Set-Cookie字段。Cookie或者Set-Cookie的出现不会阻止存储和复用HTTP请求的缓存。

源服务器不应该把多个Set-Cookie字段打包到单个HTTP头中。通常打包HTTP头的字段可能会更改Set-Cookie字段的语义，因为%x2c(",")字符被Set-Cookie使用，从而在这种打包方式中存在冲突。

3.1. 示例

使用Set-Cookie头，服务器可以向在一个HTTP响应中user agent发送一条短字符串，这条字符串会在未来符合cookie作用域的HTTP请求中回传给服务器。例如，服务器可以给user agent发送一个名叫“SID”的“session标识符”，值为 31d4d96e407aad42。user agent会在后续的请求中回传这个session标识符以及其值。

== Server -> User Agent ==

Set-Cookie: SID=31d4d96e407aad42

== User Agent -> Server ==

Cookie: SID=31d4d96e407aad42

服务器可以使用Path和Domain属性变更cookie的作用域。例如，服务器可以委托user agent在每个path每个example.com的子域都返回cookie。

 == Server -> User Agent ==

Set-Cookie:SID=31d4d96e407aad42;Path=/;Domain=example.com

 == User Agent -> Server ==

Cookie: SID=31d4d96e407aad42

就如下一个例子中展示的那样，服务器可以在user agent中存储多个cookie。例如，服务器可以通过返回两个Set-Cookie字段，实现既存储一个session标识符，又存储用户的偏好语言。值得注意的是，服务器用Secure和HttpOnly属性来对更加敏感的session标识符提供额外的安全保护（见4.1.2.）

 == Server -> User Agent ==

Set-Cookie: SID=31d4d96e407aad42; Path=/; Secure; HttpOnly
Set-Cookie: lang=en-US; Path=/; Domain=example.com

 == User Agent -> Server ==

Cookie: SID=31d4d96e407aad42; lang=en-US

注意上面的Cookie头包含了两个cookie，一个名叫SID，另一个为lang。如果服务器希望cookie在user agent的多个“会话“（sessions，例如，user agent重启之后）中持续存在，服务器可以在Expires属性中指定一个过期时间。注意，如果user agent的cookie存储超过它的定额或者用户手动删除了cookie的话，user agent可能会在过期时间到达之前删除cookie。

 == Server -> User Agent ==

Set-Cookie: lang=en-US; Expires=Wed, 09 Jun 2021 10:18:14 GMT

 == User Agent -> Server ==

Cookie: SID=31d4d96e407aad42; lang=en-US

最后，为了移除一个cookie，服务器要返回一个把过期时间设置在过去的Set-Cookie字段。服务器只有在Set-Cookie头中Path和Domain属性与创建cookie时相符时，才能成功删除cookie。

== Server -> User Agent ==

Set-Cookie: lang=; Expires=Sun, 06 Nov 1994 08:49:37 GMT

== User Agent -> Server ==

Cookie: SID=31d4d96e407aad42

4. 服务端的要求

本节描述了“表现良好”的Cookie和Set-Cookie头的句法和语义。

4.1. Set-Cookie

HTTP响应头中的Set-Cookie被用于从服务器向user agent发送cookie。

4.1.1 句法

不正式地说，Set-Cookie响应头包含了名字叫做“Set-Cookie”并跟着的一个“:”以及一个cookie。每个cookie由一个name-value键值对打头，后面跟着0个或者多个attribute-value键值对。服务器不应该发送未能遵从下列语法的Set-Cookie头。

 set-cookie-header = "Set-Cookie:" SP set-cookie-string  
                    ;Set-Cookie: 之后必须有空格，空格之后才是  
                    ;具体的set-cookie-string    

 set-cookie-string = cookie-pair *( ";" SP cookie-av )  
                    ;cookie-pair以及每个cookie-av  
                    ;之间分隔符都是";" SP(也就是分号加空格)  

 cookie-pair       = cookie-name "=" cookie-value   

 cookie-name       = token  
                    ;token表示的是除了分隔符和CTLs以外的ASCII字符  
                    ;分隔符包括:  
                    ;小中大尖括号 "("|")"|"[]"|"]"|"{"|"}"|"<"|">"  
                    ;空格和水平制表符 SP | HT  
                    ;逗号分号冒号引号问号等号 ","|";"|":"|"?"|"="|"\""  
                    ;斜线: "\" | "/"  
                    ;@: "@"  

 cookie-value      = *cookie-octet / ( DQUOTE *cookie-octet DQUOTE )

 cookie-octet      = %x21 / %x23-2B / %x2D-3A / %x3C-5B / %x5D-7E  
                       ; ASCII字符中除了CTRL（控制字符, 空白符  
                       ; 双引号, 逗号, 分号, 反斜线(\)  

 token             = <token, defined in [RFC2616], Section 2.2>  

 cookie-av         = expires-av / max-age-av / domain-av /  
                     path-av / secure-av / httponly-av /  
                     extension-av  

 expires-av        = "Expires=" sane-cookie-date  

 sane-cookie-date  = <rfc1123-date, defined in [RFC2616], Section 3.3.1>  

 max-age-av        = "Max-Age=" non-zero-digit *DIGIT  
                       ; In practice, both expires-av and max-age-av  
                       ; are limited to dates representable by the  
                       ; user agent.  

 non-zero-digit    = %x31-39  
                       ; digits 1 through 9  

 domain-av         = "Domain=" domain-value  

 domain-value      = <subdomain>  
                       ; defined in [RFC1034], Section 3.5, as  
                       ; enhanced by [RFC1123], Section 2.1  

 path-av           = "Path=" path-value  

 path-value        = <any CHAR except CTLs or ";">  

 secure-av         = "Secure"  

 httponly-av       = "HttpOnly"  

 extension-av      = <any CHAR except CTLs or ";">  

注意上面的参考文档中某些条目使用了一些和这份文档（ABNF，RFC5234）不同的语法标记。

这份文档没有定义任何关于cookie-value的语义。

为了最大化和user agent的兼容性，服务器在要使用一些任意的数据作为cookie-value时，应该将数据编码，例如使用Base64（RFC4648）。

set-cookie-string中由cookie-av项贡献的部分是被大家熟知的属性。为了最大化和user agent的兼容性，服务器不应该产生在set-cookie-string中有两个属性相同的名字的cookie。（关于user agent如何处理这种情况，见5.3节）

服务器不应该在同一个响应中包含超过一个具有相同cookie-name的Set-Cookie字段。（关于如何处理这种情况，见5.2节）

如果一个服务器向user agent并发地发送了多条包含Set-Cookie头的响应（例如，当在多个sockets上和user agent通信时），这些响应将会创造一个“竞争条件”，最终会导致不可预期的后果。

注意：一些现有的user agent对两位数的年份有不同的处理。为了避免兼容性问题，服务器应该使用要求四位数年份的RFC1123定义的日期格式。

注意：一些user agent会用32位的UNIX time_t来存储和处理日期。time_t相关的库的bug可能会导致这些user agent在2038年之后错误地处理日期。

4.1.2. 句法（非正式）

本节描述了简化的关于Set-Cookie头的语义。这些语义对于要理解最常见的服务器上cookie用法已经足够详细。全部地语义在第5节描述。

当user agent接收到一个Set-Cookie头时，user agent会将cookie及其属性一起存储。随后，当user agent发起HTTP请求时，user agent会在Cookie头中包含合适的并且没有过期的cookie。

如果user agent接收到了一个和某个现有cookie的cookie-name、domain-value和path-value都相同的新cookie，现有的那个cookie将会被驱逐，取而代之的是那个新cookie。注意服务器可以通过向user agent发送一个拥有值为过去某一时刻的Expires属性的新cookie，来删除一个cookie。

除非cookie的属性额外指定，cookie将只会回传到源服务器（例如，不会回传到任何子域上），并且cookie将会在当前会话结束时过期（会话由user agent自己定义）。user agent会忽略未被识别的cookie属性（但不会忽略整个cookie）。

4.1.2.1. Expires属性

Expires属性指明了cookie的最大生命周期，形式为cookie过期的时刻。user agent并不被要求在设定的时间之前保留cookie。实际上，user agent经常由于存储压力或者隐私上的考虑驱逐了cookie。

4.1.2.2. Max-Age属性

Max-Age属性指明了cookie的最大生命周期，形式为cookie过期之前的具体秒数。user agent并不被要求在这段指定的时长内保留cookie。实际上，user agent经常由于存储压力或者隐私上的考虑驱逐了cookie。

注意：某些现有的user agent并不支持Max-Age属性。不支持Max-Age属性的user agent将会直接忽略。

如果cookie既有Max-Age也有Expires属性，Max-Age属性将会有更高的优先级，并且控制cookie的过期时间。如果一个cookie既没有Max-Age也没有Expires属性，user agent将会在本次会话（会话由user agent定义）结束之前保留这个cookie。

4.1.2.3. Domain属性

Domain属性指明了cookie会被发送到哪些host。例如，如果某cookie的Domain属性的值为"example.com"，user agent将会在向example.com,www.example.com以及www.corp.example.com（注意，最前面的%x2E("."), 如果出现，将会被忽略，尽管它除了出现在末尾以外都是非法的）发送HTTP请求时，在Cookie头中包含该cookie。如果服务器漏掉了这个Domain属性，user agent只会向源服务器返回cookie。

警告：某些现存的user agent会将不存在Domain属性时，错误地假设为Domain属性存在，并且值为当前的host name。例如，如果example.com返回了一个没有Domain属性的Set-Cookie头，这些user agent将会错误地也向www.example.com发送cookie。

user agent将会拒绝cookie，除非Domain属性为cookie指定的作用域会包含源服务器。例如，user agent将会接受一段来自“foo.example.com”的Domain属性为"example.com"或者"foo.example.com"的cookie，但是user agent不会接受Domain属性为"bas.example.com"或者"baz.foo.example.com"的cookie。

注意：出于安全的原因，许多user agent被设定为拒绝Domain属性对应为"公共结尾"的cookie。例如，一些user agent将会拒绝Domain属性为"com"或"co.uk"等。（详见5.3节）

4.1.2.4. Path属性

每个cookie的作用域被限定到了由path组成集合中，由Path属性控制。如果服务器没有提供Path属性，user agent将会使用当前的require-uri中path元素的“目录”作为默认值（更多细节详见5.1.4节）

user agent会在一次HTTP请求中包含该cookie，条件是require-uri中路径的部分匹配Path属性（或者是Path的子目录），其中%x2F("/")被解释为路径分隔符。

虽然这看起来对分隔同一host中不同路径的cookie十分实用，但是Path属性不能作安全的凭据。（见第8节）

4.1.2.5.Secure属性

Secure属性将cookie的作用域限定到“安全的”传输途径（“安全的”是有user agent所定义的）。当一个cookie拥有Secure属性时，user agent只有在请求是从一个安全的传输途径（典型的是以TLS方式传输HTTP，也就是HTTPS，RFC2818）传输时，才会发送该cookie。

尽管这看起来对保护cookie以免受中间人攻击很有用，但是Secure属性只在机密性上保护了cookie。一个网络中间攻击者可以通过非安全的传输途径覆盖该cookie，从而破坏其完整性。（详见8.6节）

4.1.2.6. HttpOnly属性

HttpOnly属性将cookie的作用域限制到HTTP请求中。尤其是，这个属性委托user agent在提供非HTTP方式访问cookie时（例如，浏览器提供给脚本访问cookie的接口），忽略该cookie。

4.2. Cookie

4.2.1. 句法

user agent会将存储的cookie放在Cookie头中发送给源服务器。如果服务器遵从4.1中的要求（并且user agent遵从第5节的要求），user agent将会发送符合下述语法的Cookie头部：

cookie-header = "Cookie:" OWS cookie-string OWS  

cookie-string = cookie-pair *( ";" SP cookie-pair )  

4.2.2. 语义

每个cookie键值对都表述了一个被user agent保存的cookie。cookie键值对包括从Set-Cookie头中接收到的的cookie-name和cookie-value。

注意cookie的属性没有被返回。尤其是，服务器不能单靠Cookie头部就能确定，什么时候cookie会过期，cookie对哪些host有效，对什么路径有效，还有cookie是否设置了Secure或者HttpOnly属性。

每个单独的cookie的语义没有在该文档中定义。服务器被期望以应用相关地语义来填充cookie。

虽然cookie在Cookie头中被线性地序列化，但是服务器不应该依赖序列化的顺序。尤其是，当Cookie头中包含了两个具有相同名字的cookie时（例如，被设置成不同Path或者Domain属性但拥有相同名字的cookie），服务器不应该依赖这些cookie在头部中出现的顺序。

5. User Agent的要求

本节用具体地细节说明了Cookie和Set-Cookie头部，使得实现这些要求的user agent可以和现存的服务器（即使那些不满足第4节中要求的）进行互操作。

5.1. 子元素算法

本节定义了user agent所用的用于处理Cookie和Set-Cookie头部子元素得一些算法。

5.1.1. 日期

user agent必须使用一个和下述算法等价的算法来实现解析cookie-date。注意下述的各种被定义为算法一部分的boolean-flag（例如，found-time，found-day-of-month， found-month，found-year）最初状态是“没有设定”）。

1.使用下述算法，将cookie-date分割成date-token

cookie-date     = *delimiter date-token-list *delimiter  
date-token-list = date-token *( 1*delimiter date-token )  
                  ;date-token由终结符分隔  
date-token      = 1*non-delimiter  

delimiter       = %x09 / %x20-2F / %x3B-40 / %x5B-60 / %x7B-7E  

non-delimiter   = %x00-08 / %x0A-1F / DIGIT / ":" / ALPHA /%x7F-FF  
                  ;此处的非终结符指的就是非ascii，以及ascii码中的不可见字符  
                  ;以及字母和数字，以及:  
                  ;也就是说非终结符在可见ascii字符中只包括数字字母和冒号  

non-digit       = %x00-2F / %x3A-FF  

day-of-month    = 1*2DIGIT ( non-digit *OCTET )  
month           = ( "jan" / "feb" / "mar" / "apr" /  
                       "may" / "jun" / "jul" / "aug" /  
                       "sep" / "oct" / "nov" / "dec" ) *OCTET  

year            = 2*4DIGIT ( non-digit *OCTET )  
time            = hms-time ( non-digit *OCTET )   
                ;可以看出时间之后必须要有一个数字来分隔  
                ;但是再往后是什么都无所谓了  
hms-time        = time-field ":" time-field ":" time-field  
time-field      = 1*2DIGIT  

2.按照下述顺序出列每个在cookie-date中出现的token：

1. 如果found-time的flag还没有设定并且token匹配了time产生式，设定found-time的flag，并且相应地  设定hour、minute、second为token所表示的值。跳过下面剩余的步骤，并继续处理下一个  date-token。  
2. 如果found-day-of-month的flag还没有被设定，并且token匹配了day-of-month的产生式，设定  found-day-of-month的flag，并且相应地设定day-of-month为token所表示的值。跳过下面剩余的步骤，  并继续处理下一个date-token。
3. 如果found-month的flag还没有被设定，并且token匹配了month的产生式，设定found-month的flag，  并且相应地设定month为token所表示的值。跳过下面剩余的步骤，并继续处理下一个date-token。  
4. 如果found-year的flag还没有被设定，并且token匹配了year的产生式，设定found-year的flag，  并且相应地设定year为token所表示的值。跳过下面剩余的步骤，并继续处理下一个date-token。

3.如果year的值大于70且小于等于99，在year的值的基础上增加1900.

4.如果year的值大于0且小于等于69，在year值得基础上增加2000.

1. 注意：某些现有的user agent会用不同的方式解析两位数的年份。

5.在下列情况中，终止这些步骤并且解析cookie-date以失败告终：

[*] 至少在found-day-of-month,found-month,found-year,或者found-time的flag中有一个没有设定

[*] day-of-month的值小于1或者大于31

[*] year的值小于1601

[*] hour的值大于23

[*] minute的值大于59

[*] second的值大于59

（注意在这个句法中闰秒不能被体现）

6.将解析出的cookie-date转换为UTC时间。如果这个日期不存在，终止算法并且以失败告终。

7.将转换出的时间作为算法的结果返回。

5.1.1. 规范化host名

一个规范的host名是通过下述算法生成的字符串：

1. 将host名转换为独立域名标签序列.  
2. 将每个不属于LDH非保留字标签的标签，转换为A标签详见[RFC5890] 2.3.2.1），或者转换为“punycode 标签”（RFC3490的第四节所定义的“TOASCII”方法）.  
3. 将最终的标签序列拼接，中间以%x2E(".")分隔.  

5.1.3. Domain匹配

只有在满足下列条件之一时：

A. domain 字符串和给定的字符串相同。（注意两者会被规范化为
小写之后进行比较)  
B. 当满足下列所有条件时：  
    [*] domain字符串是给定字符串的一个尾部子串  
    [*] 给定字符串不包含在domain字符串中的最后一位字符是%X2E(".")  
    [*] 该字符串是一个host name(也就是说，不是一个ip地址)

给定的字符串才匹配给定的domain字符串的domain。

注意此处Domain是指hostname，是不包含端口号的

5.1.4. 路径和路径匹配

user agent必须使用和下述算法等价的算法来计算cookie的默认路径:

1. 将uri-path设定为require-uri中的path部分，如果path不存在, 则设为空。  
例如，如果request-uri刚好包含了path（以及可选的query string），那么  
uri-path就是该path(不包括%X3F("?")字符或者query string），而当request-uri  
包含一个完整的绝对路径时，uri-path就是URI的path元素。  

2. 如果uri-path为空，或者uri-path的第一位不是%X2F("/")字符，输出%x2F并且  
跳过剩余的步骤。  

3. 如果uri-path只包含不超过一个%x2F("/")，输出%x2F并且  
跳过剩余的步骤。  

4. 输出uri-path从左边数第一位到最后一个%x2F("/")之间的字符串，但是结果不  
包含最后一个%x2F("/")

至少满足下面的一个条件时，request-path才匹配cookie-path的路径:

[*] cookie-path和request-path相等  
[*] cookie-path是request-path的前缀，并且cookie-path的最后一位是%x2F("/")  
[*] cookie-path是request-path的前缀，并且第一个不包含在cookie-path的
字符是%x2F("/")

5.2. Set-Cookie头

当user agent在一次HTTP响应中接收到一个Set-Cookie字段时，user agent可能会完全会略Set-Cookie字段。例如，user agent可能希望禁止“第三方”cookie（见7.3节）。

如果user agent没有完全忽略Set-Cookie字段，那么user agent必须解析将Set-Cookie头中每个字段的值作为cookie-string解析。（下面将定义）

注意：下述算法比4.1节中的语法更加宽松。例如，该算法会将cookie的name-value的头尾空白符
移除（但保留中间的空白符）,不过4.1节中的语法禁止了这些地方的空白符。user agent使用这个算法来和哪些不符合第四节中的推荐的服务器进行互操作。

user agent必须使用和下面所述的算法等价的算法来解析set-cookie-string：

1. 如果set-cookie-string包含%x3B(";"), 那么name-value-pair由set-cookie-string  
开头到第一个%x3B（“;”）组成，但不包含%x3B，并且unparsed-attributes由剩下的set-cookie-string  组成（包括%x3B）; 否则，name-value-pair就是set-cookie-string，并且  
unparsed-attributes时空串。  

2. 如果name-value-pair缺少%x3D("=")字符，那么完全忽略set-cookie-string。      
3. name字符串（可能为空）由name-value-pair的开头，到第一个%x3D("=")组成，但不包含%x3D，  同时value（可能为空）由第一个%x3D之后的所有字符组成。    

4. 移除name和value的开头和结尾处的所有WSP（空白符）。    

5. 如果name为空，完全忽略set-cookie-string。    

6. cookie-name就是name字符串，cookie-value就是value字符串。  

user agent必须使用和下面所述的算法等价的算法来解析unparsed-attributes：

1. 如果unparsed-attributes为空，跳过剩下的这些步骤。    

2. 丢弃unparsed-attributes的第一个字符串（也就是%x3B）。    

3. 如果剩下的unparsed-attributes中包含%x3B（“;”），那么消耗从开头到第一个%x3B  
的字符串（但不包含）；否则，消耗剩下的所有unparsed-attributes。之后，令  
这个步骤中消耗的字符串为cookie-av。  
4. 如果cookie-av包含一个%x3D（“=”），那么attribute-name（可能为空）由开头  
到第一个%x3D组成，并且不包含%x3D，同时attribute-name（可能为空）为第一个  
%x3D之后的字符串；否则，attribute-name的值为整个cookie-av，并且attribute-value  
为空。  

5. 移除attribute-name和attribute-value的首尾空格。    

6. 根据下面子章节所述的要求解析attribute-name和attribute-value（注意，未被  
识别的attribute-name将会被忽略）。  

7. 回到算法的第一步。

当user agent完成对set-cookie-string的解析时，就说user agent从require-uri中获取到了
名字为cookie-name，值为cookie-value，以及属性为cookie-attribute-list的cookie。（由接收到cookie所触发的额外的要求详见5.3节）

5.2.1. Expires属性

如果attribute-name大小写不敏感地匹配了字符串“Expires”，user agent必须按照下列步骤
处理cookie-av。

令expiry-time的值为将attribute-value按cookie-date（见5.1.1节）解析后的值。

如果attribute-value没有成功地解析成一个cookie date，那么忽略这个cookie-av。

如果expiry-time晚于user agent可以表达的最晚的时间，user agent可以将expiry-time
替换为user agent可以表达的最晚的时间。

如果expiry-time早于user agent可以表达的最早的时间，user agent可以将expiry-time
替换为能表达的最早的时间。

向cookie-attribute-list追加一个属性名为Expires，属性值为expiry-time
的属性。

5.2.2. Max-Age属性

如果attribute-name大小写不敏感地匹配了字符串“Max-Age”，user agent必须按照下列步骤
处理cookie-av。

如果attribute-value的第一个字符不是DIGIT（数字）或者“-”，那么忽略cookie-av。

如果attribute-value剩余的字符中包含一个非DIGIT（非数字）字符，那么忽略这个cookie-av。

令delta-seconds为attribute-value转换为整数之后的值。

如果delta-seconds小于或等于0，令expiry-time为最早可以表达的日期和时间。否则，
令expiry-time为当前的日期和时间加上delta-seconds的秒数。

向cookie-attribute-list追加一个属性名为Max-Age，属性值为expiry-time
的属性。

5.2.3. Domain属性

如果attribute-name大小写不敏感地匹配了字符串“Domain”，user agent必须按照下列步骤
处理cookie-av。

如果attribute-value是空值，那么行为是未知的。然而，user agent应该忽略整条cookie-av。

如果attribute-value的第一个字符是%x2E("."),令cookie-domain为除去attribute-value第一个%x2E(".")之后的值；否则，令cookie-domain的值为整个attribute-value。

将cookie-domain转换为小写。

向cookie-attribute-list追加一个属性名为Domain，属性值为cookie-domain
的属性。

5.2.4. Path属性

如果attribute-name大小写不敏感地匹配了字符串“Path”，user agent必须按照下列步骤
处理cookie-av。

如果attribute-value时空值或者attribute-value的第一个字符不是%x2F（“/”）,
那么令cookie-path为默认路径；否则，令cookie-path为整个attribute-value。

向cookie-attribute-list追加一个属性名为Path，属性值为cookie-path
的属性。

5.2.5. Secure属性

如果attribute-name大小写不敏感地匹配了字符串“Secure”，user agent必须向cookie-attribute-list追加一个属性名为Secure，属性值为空的属性。

5.2.5. HttpOnly属性

如果attribute-name大小写不敏感地匹配了字符串“HttpOnly”，user agent必须向cookie-attribute-list追加一个属性名为HttpOnly，属性值为空的属性。

5.3. 存储模型

user agent的每个cookie会存储下列所述的字段：name，value，expiry-time，domain，
path，creation-time，last-access-time，persistent-flag，host-only-flag，
secure-only-flag，以及http-only-flag。

当user agent从一个request-uri接受了一个拥有名叫cookie-name，值为cookie-value，
以及属性为cookie-attribute-list的cookie时，user agent必须像下面这样处理cookie：

1. user agent可能完全忽略某个接收到的cookie。例如，user agent可能希望禁止掉来自  
第三方的cookie，或者user agent不希望存储超过某个大小的cookie。   

2. 新建一个名字为cookie-name，值为cookie-value的新cookie。将creation-time和  
last-access-time设定为当前日期和时间。  

3. 如果cookie-attribute-list包含一个属性名为"Max-Age"的属性，那么将cookie  
的presistent-flag设为true，将cookie的expiry-time设定为cookie-attribute-list中  
最后一个属性名为Max-Age的属性的属性值； 

否则，如果cookie-attribute-list中包含一个属性名为“Expires”的属性  （并且不包含“Max-Age”属性） ，那么将cookie的presistent-flag设定为true，并且将cookie的expiry-time  
设定为cookie-attribute-list中最后一个属性名为Expires的属性值；    

否则，将cookie的presistent-flag属性设为false，并且将cookie的expiry-time设定为  
能表达的最远的日期。  

4. 如果cookie-attribute-list包含一个属性名为“Domain”的属性，令domain-attribute  
为cookie-attribute-list中最后一个属性名为Domain的属性值；否则，令domain-attribute为空串。    

5. 如果user agent被配置为拒绝“公共后缀”，并且domain-attribute的值为某个  
公共后缀时：如果domain-attribute和规范化后的request-host相同的话，令domain-  
attribute属性为空串；否则，忽略整个cookie病跳过这些步骤。  

> 注意: “公共后缀”是一个由公开注册机构控制的域名，比如说“com”,"co.uk",以及
> "pvt.k12.wy.us"。一个步骤对于预防从attacker.com，通过设置一个Domain属性
> 为"com"的cookie，来破坏example.com的cookie完整性很重要。不幸的是，
> 公共后缀（著称的注册商控制的域名）的集合随时间发生着变化。如果可能的话，user agent
> 应该用一份最新的公共后缀列表，例如有Mozillas维护的一份列表（https://publicsuffix.org/）。  

6. 如果domain-attribute非空：如果规范化之后的request-host不匹配domain-attribute  
中的域名，那么完全忽略掉cookie并且终止这些步骤；否则，将cookie的host-only-flag  
设定为false，并且将cookie的domain设定为domain-attribute。    
否则：将cookie的host-only-flag设定为true，并且将domain设定为规范化之后的request-host。    

7. 如果cookie-attribute-list包含一个属性名为“Path”的属性，将cookie的path  
属性设定为cookie-attribute-list中最后一个属性名为“path”的属性值；否则，将  
cookie的path设定为request-uri的默认路径。（5.1.4节）    

8. 如果cookie-attribute-list包含一个属性名为“Secure”的属性时，将cookie的  
Secure-only-flag设定为true；否则，设为false。    

9. 如果cookie-attribute-list包含一个属性名为“HttpOnly”的属性时，将cookie的  
http-only-flag设定为true；否则，设为false。  

10. 如果cookie是从非HTTP的API传入的，并且设定了cookie的http-only-flag，那么  
终止这些步骤并且完全忽略该cookie。  

11. 如果cookie的存储中已经包含了一个和新建的cookie的name、domain、path  
都相同的cookie，那么：a. 令old-cookie为现存的domain、name、path都相同的  
cookie（注意这个算法保持了至多只有一个这样cookie的不变性）；b. 如果新创建的  
cookie是从一个非HTTP的API接收到的并且old-cookie的http-only-flag已经设定，  
那么终止这些步骤并且完全忽略这个新创建的cookie；c. 将新创建的cookie的creation-time  
更新为old-cookie的creation-time；d. 将old-cookie从cookie 存储中移除。    

12. 将新创建的cookie插入到cookie存储中。

当cookie的过期时间是在过去时，这个cookie就是“过期的”。

user agent必须从cookie存储中清除掉所有的过期cookie，条件为在任何时刻，cookie
存储中存在一个过期的cookie时。

在任何时刻，user agent都可能会从cookie存储中“移除过量的cookie”，条件为共享
同一个domain字段的cookie的数量超过了预设的边界值（例如50个cookie）。

在任何时刻，user agent都可能会从cookie存储中“移除过量的cookie”，条件为所有cookie的总数量超过了预设的边界值（例如3000个cookie）。

当user agent从cookie存储中移除过量的cookie时，user agent必须按下面的优先级
清除cookie：

1. 过期的cookie
2. 共享一个Domain的cookie数目超过其他cookie预设的一个数量（？）时
3. 所有的cookie

如果两个cookie具有相同的移除优先级，那么user agent必须先移除last-access
更早的那个cookie。

当“当前会话结束”（由user agent定义）时，user agent必须从cookie存储中
移除所有persisitent-flag属性为false的cookie。

5.4. Cookie头

user agent将会在HTTP请求的Cookie头中包含存储的cookie。

当user agent产生一个HTTP请求时，user agent禁止产生多余一个的Cookie头字段。

user agent可能会在HTTP中删除Cookie头部。例如，user agent可能希望禁止
发送从第三方请求中获取到的cookie。（见7.1节）

如果user agnet已经把一个Cookie头部字段添加到HTTP头部中，user agent必须把cookie-string（由下面定义）当做这个头部字段的值发送。

user agent必须用一个等价于下面所述的算法来从cookie存储中结合request-uri，来
计算“cookie-string”：

1. 令cookie-list为cookie存储中符合下面所有要求的cookie的集合：
    [*] 要么，cookie的host-only-flag为true，并且规范化后的request-host和
        cookie的域名相同；或者，cookie的host-only-flag为false，并且规范化后
        的request-host和cookie的domain匹配;  
    [*] request-uri的path部分和cookie的path部分相匹配;  
    [*] 如果cookie的secure-only-flag为true, 那么request-uri的scheme
    必须表示一个“安全的”协议（由user agent定义）。  
    > 注意：“安全的”协议不是由本文档定义的。典型的情况是，user agent会将使用
    安全传输的协议认为是安全的，比如SSL或者TLS。例如，大多user agent会将“https”
    看作是表示安全协议的scheme。  
    [*] 如果cookie的http-only-flag被设定为true，那么这个cookie将会在为“非HTTP”
    接口（由user agent定义）生产cookie-string时被忽略。   

2. user agent应该按照下列顺序对cookie-list进行排序：
    [*] 拥有更长的path的cookie将会排在拥有更短的path的cookie前面。  
    [*] 当cookie拥有相同的path字段长度时，拥有更早creation-time的cookie将会
    被排在更晚creation-time的cookie前面。  
    > 注意：不是所有的user agent都按这个吮吸排列cookie-list，但是这个顺序
    反应了在撰写本文档时以及历史上，现有的服务器（错误地）所依赖的顺序的经验。    

 3. 将cookie-list中每个cookie的last-access-time更新为当前的时刻。  

 4. 将cookie-list序列化为一个cookie-string，需要按照下列顺序处理每个cookie:
    1. 输出cookie的名字，%x3D("=")字符，以及cookie的值.
    2. 如果在cookie-list中还存在未处理的cookie，输出字符%x3B以及%x20("; ").
 >注意：除了它的名字，cookie-string其实是一个八bit序列，而不是字符序列。为了将
 cookie-string（或者其中的元素）转换为字符序列（例如，为了展示给用户），user agent
 可能希望尝试使用UTF-8编码（RFC3629）来解码这个八bit序列。但是，这个解码可能会失败，因为
 不是所有的八bit序列都是合法的UTF-8.

6. 实现上的考虑

6.1. 限制

实际的user agtn实现在他们能存储的cookie的数目和大小上有限制。常见的user agent
应该提供下述的最小容量：
[] 每个cookie至少4096bytes（以cookie的name，value和attribute之和衡量）
[] 每个domain至少50个cookie
[*] 至少总共3000个cookie

服务器应该使用尽可能小和尽可能小的cookie来防止达到这些实现上的限制，以及最小化
网络带宽的需求，因为Cookie头会在每一个请求中都被包含。

如果user agent未能在Cookie头中返回一个或者多个cookie，服务器应该优雅地处理
这种情况，因为user agent随时可能会按照用户的要求移除任何cookie。

6.2. API

Cookie和Set-Cookie头使用一个这么难懂的句法的原因是，许多平台（包括服务器和
user agent）都提供了一个基于字符串的有关cookie的API，这就要求应用层的开发者
自己生成和解析Cookie和Set-Cookie头，这导致许多程序员错误地实现了，最终导致
不兼容问题。

为了替代提供基于字符串的cookie相关API的做法，平台最好提供更加语义化的API。推荐
详细的API设计超过了本文档的范畴，但是显然接收一个抽象的"Date"对象而不是一段序列化的
date string会有清晰的好处。

6.3. IDNA依赖与迁移

IDNA2008（RFC5890）取代了IDNA2003（RFC3490）。然而，在两份说明中存在差异，
因此处理（比如，转换）从一个标准下注册的域名标签到另一个存在差异。IDNA2003存在的
过渡时期会有一定的时常。user agent应该实现IDNA2008（RFC5890）并且可能会实现
UTS46或者RFC5895以加快IDNA的过渡。如果user agent没有实现IDNA2008，那它应该
实现IDNA2003（RFC3490）。

7. 隐私的考虑

cookie因为允许服务器追踪用户饱受批评。例如，很多“web分析”公司使用cookie来识别
用户是否回到了网站或者访问了另一个站点。虽然cookie不是服务器唯一可以用来追踪跨
HTTP请求的手段，但是cookie促进了追踪，因为他们在user agent的会话之间可以一直存在，
并且可以被多个host共享。

7.1. 第三方cookie

特别令人担忧的是所谓的“第三方”cookie。在渲染一个HMTL文档时，user agent经常从其他
服务器请求资源（例如广告网络）。这些第三方服务器可以使用cookie来跟踪用户，尽管用户
没有直接访问他们的服务器。例如，如果一个用户访问了一个带有第三方内容的网站，之后用户
浏览另一个包含这个内容的网站时，第三方可以跨域两个站点追踪用户。

一些user agent限制了第三方cookie的行为。例如，其中一些user agent拒绝在向第三方的请求中
发送Cookie头部。另外一些则是拒绝处理第三方请求的响应中的Set-Cookie头部。user agent在
处理的第三方cookie策略方面有很多不同。本文档允许user agent在很大范围内尝试第三方cookie的策略，来满足用户对隐私和兼容性的需求。然而，本文档并不偏向于任何特别的第三方cookie策略。

禁止第三方cookie的策略，当服务器尝试绕过这个追踪用户的限制来实现他们隐私追踪时，是无效的。
尤其是，两个协作的服务器经常通过动态url而不是cookie添加识别信息，来追踪用户的时候。

7.2. 用户控制

user agent应该提供一种给用户管理存储在cookie存储中cookie的机制。例如，user agent可能
让用户删除一段时间内的所有cookie或者和某个domain相关的所有cookie另外，许多user agent
都包含了一个让用户检查存储在cookie store中的cookie的界面。

user agent应该提供一种可以让用户禁用cookie的机制。当cookie被禁用时，user agent禁止在
发出的HTTP请求中包含Cookie头部，并且user agent处理收到的HTTP响应中的Set-Cookie头部。

一些user agent提供了阻止cookie跨session存储的选项。当这个被配置到的时候，user agent
必须将所有收到的cookie当做persistent-flag设定为false进行对待。一些流行的user agent
通过“匿名浏览模式”来开放这个功能。

某些user agent提供了允许用户自己写入cookie的能力。在大多数常见的场景中，这会产生大量的
对话框。然而，尽管如此，某些看中隐私的用户认为这个功能很有用。

7.3. 过期时间

虽然服务器可以将cookie的过期时间设定到一个遥远的未来，但是绝大多数user agent实际上并不会
将cookie保留几十年。与其选择无厘头的很长的国务时间，服务器应该，基于实际目的来选择一个合适的cookie过期时间，以提高用户的隐私性。例如，一个典型的cookie标识符应该设置成过期时间为
两周比较合理。

8. 安全考虑

8.1. 概述

cookie可能有很多安全陷阱。本节概述了几个比较显著的问题。

尤其是，cookie鼓励开发者依赖Ambient Authority做认证，往往提供了被攻击的弱点，比如说跨站请求伪造（CSRF）。同时，当在cookie中存储session标识符时，开发者往往也留下了session fixation的隐患。

传输层加密，例如使用HTTPS，并不足以防御网络攻击者获得或者更改受攻击者的cookie，因为cookie协议本身有很多脆弱性（见下面的“弱机密性”和“弱完整性”）。另外，默认情况下，cookie不能从网络攻击者那儿获得完整性和机密性，甚至在使用HTTPS时。

8.2. 环境授权(Ambient Authority)

使用cookie来认证用户的服务器可能会承受安全上的脆弱性，因为一些user agent允许远程组织从
user agent发送HTTP请求（例如，通过HTTP重定向或者HTML表单）。当处理这些请求时，user agent会附上这些cookie，尽管远程组织不知道cookie的内容，但是也潜在地允许远程组织利用在
没有防备性的服务器的授权。

尽管这个安全担忧有过许多名字（比如，跨站请求伪造，confused deputy），这个问题起源于将cookie作为一种环境授权（Ambient Authority）。cookie鼓励服务器的管理员将名称（用URL的形式）和授权（cookie）中分离。结果是，user agent可能会向攻击者指定的地址进行授权，可能导致服务器和客户端承受由攻击者指定的动作，因为他们曾经被用户授权。

服务器管理员可能会考虑通过将URL作为授权表，将名字（URL）和授权绑在一起，来作为取代使用cookie作为授权的手段。取代将secret存在cookie的是，这个方法将secret存在URL中，要求远程
实体自己提供授权。虽然这个方法不是万能药，审慎的运用这个原则可以获得更好的安全性。

8.3. 明文

除非以安全的途径传输（例如TLS），在Cookie和Set-Cookie字头是以明文传输的。

1. 这些头部中所有传输的敏感信息都曝光给了窃听者。
2. 一个怀有恶意的中间人可以更改任一方向中的头部，带来不可预知的后果。
3. 一个怀有恶意的客户端可以在传输之前更改Cookie头部，带来不可预知的后果。

当传输到user agent时（就算在安全的隧道发送cookie也是），服务器应该加密并签名cookie的内容（使用任何服务器想使用的格式）。然而，加密并签名的cookie内容并没有预防攻击者将cookie从一个user agent转移到另一个，或者之后重放cookie进行攻击。

签名和加密每个cookie的内容之外，要求一个更高安全等级的服务器应该只在一个安全的隧道中
使用Cookie和Set-Cookie头。当使用安全渠道的cookie时，服务器应该设定每个cookie的Secure
属性。如果服务器没有设置Secure属性，由安全隧道提供的保护将会很大程度上的没有意义。

例如，考虑一个webmail服务器，将session标识符存在一个cookie钟，并且通过HTTPS访问。如果
服务器没有在它的cookie上设定安全属性，一个活跃的网络攻击者将可以拦截任何由user agent发出的HTTP请求并且将其请求重定向到向HTTP上的webmail服务器。就算webmail服务器没有监听HTTP连接，user agent也会在该请求中包含cookie。这个活跃的网络攻击者拦截这些cookie，并且向服务器重放攻击，之后获取到用户的邮件内容。如果，取而代之，服务器在cookie中设定了Secure属性，
user agent将会在明文请求中包含这个cookie。

8.4. session标识符

服务器一般在cookie中存储一个nonce（或者session标识符）来代替，直接在cookie中存储session信息（可能会被攻击者获得或者重放）。当服务器收到一个拥有nonce的HTTP请求时，服务器会把nonce当做key查找和cookie相关联的状态信息。

使用session标识符限制了攻击者可以造成的危害，如果攻击者拿到了cookie的内容，因为nonce是唯一一个和服务器交互的有用信息（不像非nonce得cookie内容，其本身就是敏感的）。而且，使用单个nonce避免了攻击者将两个交互中的内容混杂起来，造成服务器不可预期的行为。

使用session标识符也不是完全没有风险。例如，服务器应该避免“session fixation”造成的易受攻击性。固化session攻击以下面三个步骤进行。首先，攻击者将session标识符从他的user agent中
移植到受害者的user agent中。第二，受害者使用这个session和服务器交互，可能会用用户信息填充这个session标识符。第三，攻击者直接使用这个session标识符和服务器交互，可能会获得授权信息或者机密信息。

8.5. 弱机密性

cookie没有提供端口隔离。如果一个cookie在一个端口上是可读的，那么这个cookie对另一个运行在同一个服务器上不同端口的服务来说也是可读的。如果一个cookie在一个端口上是可写的，那么这个cookie对另一个运行在同一个服务器上不同端口的服务来说也是可写的。出于这个原因，服务器不应该
在具有相同host的不同端口上运行相互不信任的服务，并且用cookie来存储安全敏感信息。

cookie没有提供协议带来的隔离性。虽然绝大多数通常都使用http和HTTPS协议，给定host的cookie也可能被其他协议获取到，例如ftp和gopher。虽然缺少协议隔离性，对从非HTTP的API获取cookie的权限是显著的，但是实际上由协议导致的隔离性缺失表现在了他们需要自己处理cookie（例如，考虑通过HTTP取回一个使用gopher协议的URI）。

cookie往往也没有提供基于path的隔离性。虽然网络层的协议并没有将存储在一个path的协议发到另一个，但是某些user agent通过非HTTP的api暴露了这些cookie，例如HTML的document.cookie API。因为其中的某些user agent（例如，浏览器）并没有将从不同path获得的资源隔离起来，从一个path取回的某个资源也可能可以拿到存储到另一个path的cookie。

8.6. 弱完整性

cookie没有为兄弟域名（极其子域名）提供完整性保障。例如，考虑foo.example.com和bar.example.com。foo.example.com服务器可以设置一个Domain属性为"example.com"的cookie（可能覆盖一个现有的由bar.example.com设置的"example.com"的cookie）。并且user agent会在想bar.example.com的HTTP请求中包含这个cookie。在最坏的情况下，bar.example.com将不能把这个cookie和一个自己设定cookie区分开来。foo.example.com服务器可能会利用这个能力来发起对bar.example.com的攻击。

尽管Set-Cookie头支持Path属性，path属性也没有提供任何完整性保证，因为user agent将会接受一个Set-Cookie头部的任意路径。例如，一个对 http://example.com/foo/bar 的HTTP响应，可以设置一个Path属性为"/qux"的cookie。因此，服务器不应该在相同host上的不同path运行两个相互不信任的服务，并且使用cookie来存储安全敏感信息。

某个活动的网络攻击者也可以向发送到 https://example.com/ 的请求中的Cookie头部注入cookie，方法是仿造一个 http://example.com/ 的响应并且注入一个Set-Cookie头。位于example.com的HTTPS服务器将不能分辨gaicooie是否是他自己在HTTPS响应中设置的cookie。一个活跃的网络攻击者可能会通过这个机制来攻击example.com，即使example.com只使用了HTTPS。

译者注：例如，用户直接敲了一个HTTP站点，www.baidu.com,在重完成定向到HTTPS之前，中间人可以伪造跳转，比如返回一个302跳转到 https://www.baidu.com 同时中间人设定一个cookie

服务器可以通过加密和签名他们的cookie来缓和这些攻击。然而，使用密码学并没有完全缓解这个问题，因为一个攻击者可以重放TA从真实的example.com服务器中的sessuib获取到的cookie，以导致不可预期的后果。

最后，一个攻击者可以通过存储大量cookie来强迫user agent删除掉cookie。一旦user agent达到了它的存储限制，user agent会被迫驱除掉某些cookie。服务器不应该依赖user agent对cookie的保留。

8.7. 依赖DNS

cookie依赖DNS系统来提供安全性。如果DNS部分或全部受损，cookie协议可能会无法提供应用所要求的安全属性

9. IANA考虑

永久的消息头部注册（RFC3864）已经被下列登记项目更新。

9.1. Cookie

头部名称: Cookie

应用协议： http

状态： 标准

作者/变化控制者: IETF

标准文档： 本文档（5.4节）

9.2. Set-Cookie

头部名称: Set-Cookie

应用协议： http

状态： 标准

作者/变化控制者: IETF

标准文档： 本文档（5.2节）

9.3. Cookie2

头部名称: Cookie2

应用协议： http

状态： 已淘汰

作者/变化控制者: IETF

标准文档： RFC2965

9.4. Set-Cookie2

头部名称: Set-Cookie2

应用协议： http

状态： 已淘汰

作者/变化控制者: IETF

标准文档： RFC2965