Что такое cookie

Работа с cookie из PHP

Для сохранения cookie в браузере пользователя используется функция :

bool setcookie(
    string $name,
    string $value,
    int $expire, 
    string $path,
    string $domain,
    bool $secure,
    bool $httponly
);

Может принимать следующие параметры:

• : имя cookie, которое будет использоваться для доступа к его значению.
• : значение или содержимое cookie — любой алфавитно-цифровой текст не более 4 кБайт.
• (необязательный параметр): срок действия, после которого cookie уничтожаются. Если данный параметр не установлен или равен 0, то уничтожение cookie происходит после закрытия браузера.
• (необязательный параметр): путь к каталогу на сервере, для которого будут доступны cookie. Если задать «/», cookie будут доступны для всего сайта. Если задать, например, , cookie будут доступны из этого каталога и всех его подкаталогов (, ). По умолчанию значением является текущий каталог, в котором устанавливаются cookie.
• (необязательный параметр): задает домен, для которого будут доступны cookie. Если это домен второго уровня, например, , то cookie доступны для всего сайта , в том числе и для его поддоменов типа . Если задан поддомен , то cookie доступны только внутри этого поддомена.
• (необязательный параметр): указывает на то, что значение cookie должно передаваться по протоколу HTTPS. Если задано , cookie от клиента будет передано на сервер, только если установлено защищенное соединение. По умолчанию параметр равен .
• (необязательный параметр): если равно , cookie будут доступны только через HTTP протокол. То есть cookie в этом случае не будут доступны из JavaScript. По умолчанию параметр равен .

Чтобы получить cookie, можно использовать глобальный массив . Для удаления cookie достаточно в качестве срока действия указать какое-либо время в прошлом:

setcookie('lastvisit', '', time() - 3600);

Чтобы к идентификатору сессии не было доступа из JavaScript, нужно отредактировать файл :

; Name of the session (used as cookie name).
; http://php.net/session.name
session.name = PHPSESSID

; Whether or not to add the httpOnly flag to the cookie, which makes
; it inaccessible to browser scripting languages such as JavaScript.
; http://php.net/session.cookie-httponly
session.cookie_httponly = 1

Можно также использовать функцию , чтобы установит флаг уже во время выполнения приложения:

ini_set('session.cookie_httponly', 1);
session_start();

Еще одни способ изменить флаг — вызов функции перед :

session_set_cookie_params(/*...*/);
session_start();

Установить флаг для из :

; http://php.net/session.cookie-secure
session.cookie_secure = 1

Установить флаг во время работы приложения:

ini_set('session.cookie_secure', 1);
session_start();

session_set_cookie_params(/*...*/);
session_start();

Поиск:
Cookie • HTTP • HTTPS • JavaScript • PHP • Web-разработка • expire • httponly • localStorage • php.ini • secure • sessionStorage • setcookie

Где и зачем хранятся cookie

Cookie бывают постоянными и сторонними. Постоянные — те, которые хранятся в папке браузера пользователя. В одном файле хранятся данные конкретного сайта. Каждый браузер имеет свою папку с cookie на компьютере. Сторонние куки-файлы находятся на сервере и используются владельцами сайтов для анализа посещаемости и настройки контекстной рекламы на основании предыдущих сеансов.

Файлы с данными о сайтах хранятся на жёстком диске до тех пор, пока не удаляются автоматически либо по команде пользователя. Найти cookie-файл можно в папке браузера.

Если вы хотите узнать, где хранятся cookie в Chrome или другом браузере, откройте Проводник, введите название файла в поиск и нажмите Enter.

Срок хранения куки-файлов ограничен и обычно задаётся владельцем сайта. При длительном перерыве между сеансами данные о последнем сеансе удаляются на компьютере автоматически. Но вы также можете очистить файл с cookie самостоятельно в любой момент.

Как удалить cookie?

Каждый пользователь должен знать, как в браузере почистить куки для обеспечения конфиденциальности и безопасности. Но технологии не стоят на месте. В некоторых системах удаление cookie почти невозможно. Точнее, эта функция доступна, но реализуется с большим трудом. Такие данные находятся в нескольких места, и при удалении из одного автоматически восстанавливаются куки из других источников.

Как вариант, можно отключить в браузере куки. Это удобная функция, позволяющая сохранить конфиденциальность. С другой стороны, появляются трудности при посещении сайтов, нуждающихся во включенных cookie. Вот почему выключение этой функции — дело каждого человека. Удаление доступно для всех кукис или только отдельных сайтов. Кроме того, в настройках веб-проводника можно указать, чтобы он спрашивал — сохранять новые данные или удалять их при закрытии браузера.

При этом у проводников имеется ряд ограничений для данных cookie:

1. допускается хранение не более 300 значений;
2. размер кукис не может быть больше 4 КБ;
3. количество cookie с одного домена не больше 20.

Если ограничение больше одной из этих цифр, необходимо удалить первую по времени запись, а в случае превышения ограничения в 4 КБ лишняя часть автоматически отрезается.

Перед удалением можно копировать, а впоследствии импортировать куки в браузер (если это требуется). При этом алгоритм очистки индивидуален для каждого веб-проводника.

Гугл Хром

1. войдите в браузер;
2. кликните на сочетание Ctrl+Shift+Del;
3. выберите Файл cookie и другие данные сайтов;укажите срок, за который проводится удаление;
4. жмите на кнопку очистки.

Для Яндекс

• жмите три горизонтальные полоски;
• кликните кнопку Дополнительно;
• выберите Очистить Историю.

укажите период, за который нужно убрать cookies;

• выберите файлы куки и остальные данные сайта;
• кликните Очистить.

Как вариант, можно удалить куки для одной страницы. Для этого перейдите на сайт, а в умной строке жмите значок соединения. Там откроется панель Protect с указанным статусом соединения. Жмите ссылку «название сайта файлов куки», а после выберите cookies и жмите Удалить.

Для Мозилла

1. войдите в веб-проводник;
2. найдите в меню пункт Журнал;
3. выберите Удалить недавнюю историю;
4. найдите пункт Куки и укажите период, за который требуется удаление;
5. подтвердите действие.

Если необходимо удалить отдельные куки для ресурсов, жмите на соответствующую ссылку, а после выберите необходимые площадки и подтвердите действие. Помните о необходимости сохранить изменения.

Для Опера

• войдите в Меню, а там История или используйте горячую комбинацию CTRL+Shift+Del;
• справа вверху найдите Очистить историю посещений;

в окне истории ставьте пометку возле Удалить куки и данные сайтов;

жмите кнопку Очистить историю посещений.

Для Internet Explorer

• войдите в веб-проводник;
• жмите горячие клавиши или войдите в меню, а там Безопасность;

• выберите Удалить журнал браузера;
• ставьте отметку возле раздела Файлы куки и данные веб-сайтов, а после жмите Удалить.

Теперь вы знаете, как удалить куки веб браузера, и как включить эти данные при необходимости. Но существует еще один момент, который требует рассмотрения.

В чем смысл cookie для пользователей, владельцов сайтов и рекламодателей

Cookie могут быть полезны посетителям сайтов, владельцам сайтов и рекламодателям.

Что хранят куки? Идентификатор конкретного посетителя, время посещения, продолжительность посещений, запрос в поисковике, с помощью которого был найден необходимый сайт и т.д.

Зачем cookie нужны владельцам веб-сайтов? Для них куки являются важным источником информации про посетителей сайта. Благодаря cookie,  владелец сайта может, например, определить, какая целевая группа посетителей посещает его сайт, из какого региона чаще всего интересуются данным сайтом.

Рекламодатели используют куки для настройки рекламы по интересам. Многие пользователи замечали, что если они что-то искали в интернете, то потом появляется реклама с предложением именно того, что они искали. Иногда это раздражает. Тогда можно просто почистить куки в своем браузере.

Почему cookie полезно для пользователей

Основным преимуществом для каждого посетителя сайта является экономия времени. Например, не нужно входить в свою учетную запись Facebook, снова и снова вводить логин и пароль – пользователь автоматически попадет на свою страничку.

Многие пользователи неосознанно привыкли использовать куки. Иногда они даже не помнят логин или пароль для входа на тот или иной сайт. Вообще-то, если куки стереть, то логины и пароли «забудутся», об этом стоит помнить. В этом смысле лучше использовать вариант сохранения паролей и логинов в самом браузере. Такая возможность есть в каждом браузере.

Большинство покупок в интернете совершается с помощью cookie. Куки отслеживают то, что у пользователя хранится в корзине для товаров и услуг.

Компьютеры и гаджеты, к сожалению, не вечны и могут ломаться. Поэтому в критических случаях может потребоваться, например, переустановка операционной системы. После установки системы «с чистого листа», все ранее сохраненные куки будут, разумеется, удалены, стерты. То же самое произойдет при переустановке браузера.

И вот тут некоторые пользователи отказываются понимать, почему в их браузере перестают автоматически открываться, например, странички ВКонтакте, Одноклассники, электронная почта и другие сайты. Но ведь браузер был установлен заново. Старые куки удалились. И теперь нужно заново вводить логины и пароли для входа на все сайты. Если они не были сохранены, то возникают проблемы.

Могут ли файлы cookie быть опасными

В большинстве случаев они не опасны и увеличивают функциональность сайтов. Однако создатели сайта могут использовать их для других целей. Какие самые популярные угрозы?

Сбор данных: если сайт использует файлы cookie для хранения конфиденциальных данных, например, электронной почты, логинов и паролей, они могут быть захвачены злоумышленниками (трояном).

Отслеживание и шпионаж: многие компании, особенно в рекламной и аналитической отрасли, используют долгосрочные куки для отслеживания и изучения поведения пользователей интернета, например, выясняя, возвращается ли данный пользователь на сайт, их интересы и т. д.

Результаты поведенческих анализов могут быть переданы рекламодателю как информация о пользователе.

Несанкционированный доступ: удобно сохранять пароли для входа, потому что вам не нужно вводить их каждый раз, но, когда ваш ноутбук украден или потерян, тогда человек, который его использует, автоматически получит доступ ко многим услугам, например, Facebook.

Сохранение куки

Для сохранения куки нужно присвоить document.cookie текстовую строку, которая содержит свойства куки, которые мы хотим создать:

Свойства описаны в таблице:

Свойство	Описание	Пример
=	Устанавливает имя куки и его значение.
	Устанавливает дату истечения срока хранения куки. Дата должна быть представлена в формате, который возвращает метод объекта . Если значение не задано, куки будет удалено при закрытии браузера.
	Данная опция устанавливает путь на сайте, в рамках которого действует куки. Получить значение куки могут только документы из указанного пути. Обычно данное свойство оставляют пустым, что означает что только документ установивший куки может получит доступ к нему.
	Данная опция устанавливает домен, в рамках которого действует куки. Получить значение куки могут только сайты из указанного домена. Обычно данное свойство оставляют пустым, что означает, что только домен установивший куки может получит доступ к нему.
	Данная опция указывает браузеру, что для пересылки куки на сервер следует использовать SSL. Очень редко используется.

Давайте посмотрим пример установки куки:

Данный код устанавливает куки , и присваивает ему значение , которое будет храниться до 15-го февраля 2011 года (используется Европейский формат времени!).

Данный код выполняет точно такое же действие, как и предыдущий пример, но для установки даты используется метод . Учтите, что нумерация месяца в объекте начинается с 0, то есть февраль — это .

Данный код устанавливает куки , и присваивает ему значение . Так как атрибут не установлен, то куки удалится при закрытии браузера.

Перекодирование значения куки!

Следует перекодировать значение куки для корректного хранения и отображения таких символов как пробел и двоеточие. Такая операция гарантирует, что браузер корректно воспримет значение. Перекодирование лекго выполняется функцией JavaScript . Например:

Функция для установки куки

Установка куки станет проще, если мы напишем специальную функцию, которая будет выполнять простые операции, такие как перекодирование значений и построение строки . Например:

Функция получает данные для куки в качестве аргументов, затем строит соответствующую строку и устанавливает куки.

Например, установка куки без срока хранения:

Установка куки со сроком хранения до 15 февраля 2011:

Установка куки со сроком хранения, доменом , использованием SSL, но без пути:

Функция для удаления куки.

Другая полезная функция для работы с куки представлена ниже. Функция «удаляет» куки из браузера посредством установки срока хранения на одну секунду раньше текущего значения времени.

Для использования данной функции нужно только передать ей имя удаляемого куки:

Basic Usage

Create a cookie, valid across the entire site:

Cookies.set('name', 'value')

Create a cookie that expires 7 days from now, valid across the entire site:

Cookies.set('name', 'value', { expires: 7 })

Create an expiring cookie, valid to the path of the current page:

Cookies.set('name', 'value', { expires: 7, path: '' })

Read cookie:

Cookies.get('name') // => 'value'
Cookies.get('nothing') // => undefined

Read all visible cookies:

Cookies.get() // => { name: 'value' }

Note: It is not possible to read a particular cookie by passing one of the cookie attributes (which may or may not
have been used when writing the cookie in question):

Cookies.get('foo', { domain: 'sub.example.com' }) // `domain` won't have any effect...!

The cookie with the name will only be available on if it’s visible from where the
code is called; the domain and/or path attribute will not have an effect when reading.

Delete cookie:

Cookies.remove('name')

Delete a cookie valid to the path of the current page:

Cookies.set('name', 'value', { path: '' })
Cookies.remove('name') // fail!
Cookies.remove('name', { path: '' }) // removed!

IMPORTANT! When deleting a cookie and you’re not relying on the , you must pass the exact same path and domain attributes that were used to set the cookie:

Cookies.remove('name', { path: '', domain: '.yourdomain.com' })

Note: Removing a nonexistent cookie neither raises any exception nor returns any value.

Сборка вешалки из фанеры

Плюсы и минусы куки

Основные плюсы куки:

1. Удобство. Решение многих технических проблем простым и удобным методом. При этом от пользователей ничего не требуется (например, вводить специального вида url или нечто подобное).

2. Распределение нагрузки. Абстрактный пример. Допустим, у сайта 1 000 000 пользователей. Для каждого пользователя необходимо хранить 10 настроек по 100 символов. Это означает, что сайту пришлось бы хранить порядка 1 000 000 000 символов (1 000 000 * 10 * 100), что чуть меньше 1 Гб данных (а если учитывать различные технические особенности, то эта цифра легко может увеличиться в 2 и более раз). А так, сайт ничего не хранит и у каждого пользователя хранится всего 1000 символов.

3. Возможность быстрой авторизации. Так как куки передаются браузером в веб-сервер сайта, то в них можно хранить специальный идентификатор, позволяющий осуществлять автоматических вход в сайт.

4. Для корректировки данных не нужно каждый раз перезагружать страничку. Если бы не существовало cookie, то каждое изменение настроек необходимо было бы сохранять в веб-сервере сайта, а это означает, что нужно было бы каждый раз перезагружать странички (чтобы данные отправлялись для сохранения). Куки же позволяют этого избежать.

5. Куки доступны из разных вкладок. Суть в том, что если вы открыли 2 или более вкладок одного сайта, то содержимое куки у них будет одним и тем же, даже если оно корректируется. Это позволяет производить взаимодействие между вкладками без перезагрузки страниц.

Основные минусы cookie:

1. Чужие компьютеры и прочие проблемы безопасности. Представьте, что вы пришли к знакомому, включили его компьютер и вошли в социальную сеть, установив галочку «запомнить». Это означает, что в его браузере была создана постоянная cookie для автоматического входа. Затем вы закрыли браузер, не выйдя из социальной сети, и пошли заниматься своими делами. Что случится в такой ситуации? Когда знакомый откроет эту социальную сеть, он автоматически войдет под вашей учетной записью. И это только лишь относительно безобидный пример.

2. Небольшой размер. В куках можно хранить не так уж много данных (лимиты крайне небольшие, цифры измеряются в единицах, десятках и сотнях килобайт), поэтому этот подход можно применить далеко не для всех задач. Справедливости ради, стоит отметить, что существуют такие технологии, как кэш и localStorage (некий аналог cookie, но позволяет хранить больше данных, как минимум, 5 Мб), но у них свои минусы и плюсы.

3. Хранятся в файлах на компьютере. Это означает, что, как и обычные файлы, их можно скопировать, удалить и прочее.

4. Пользователь может изменить куки. Возможность редактирования означает потенциальные проблемы. Абстрактный пример. Допустим, вы открыли сайт с игрушкой. Этот сайт сохраняет в cookie текущее количество набранных очков. Что мешает пользователю изменить это число и стать первым в рейтинге? Ничего. И это только лишь относительно безобидный пример.

5. Отслеживание действий пользователя. Подробнее об этом чуть далее.

samesite

That’s another security attribute . It’s designed to protect from so-called XSRF (cross-site request forgery) attacks.

To understand how it works and when it’s useful, let’s take a look at XSRF attacks.

Imagine, you are logged into the site . That is: you have an authentication cookie from that site. Your browser sends it to with every request, so that it recognizes you and performs all sensitive financial operations.

Now, while browsing the web in another window, you accidentally come to another site . That site has JavaScript code that submits a form to with fields that initiate a transaction to the hacker’s account.

The browser sends cookies every time you visit the site , even if the form was submitted from . So the bank recognizes you and actually performs the payment.

That’s called a “Cross-Site Request Forgery” (in short, XSRF) attack.

Real banks are protected from it of course. All forms generated by have a special field, so called “XSRF protection token”, that an evil page can’t generate or extract from a remote page (it can submit a form there, but can’t get the data back). And the site checks for such token in every form it receives.

But such protection takes time to implement: we need to ensure that every form has the token field, and we must also check all requests.

The cookie option provides another way to protect from such attacks, that (in theory) should not require “xsrf protection tokens”.

It has two possible values:

samesite=strict (same as samesite without value)

A cookie with is never sent if the user comes from outside the same site.

In other words, whether a user follows a link from their mail or submits a form from , or does any operation that originates from another domain, the cookie is not sent.

If authentication cookies have option, then XSRF attack has no chances to succeed, because a submission from comes without cookies. So will not recognize the user and will not proceed with the payment.

The protection is quite reliable. Only operations that come from will send the cookie, e.g. a form submission from another page at .

Although, there’s a small inconvenience.

When a user follows a legitimate link to , like from their own notes, they’ll be surprised that does not recognize them. Indeed, cookies are not sent in that case.

We could work around that by using two cookies: one for “general recognition”, only for the purposes of saying: “Hello, John”, and the other one for data-changing operations with . Then a person coming from outside of the site will see a welcome, but payments must be initiated from the bank website, for the second cookie to be sent.

samesite=lax

A more relaxed approach that also protects from XSRF and doesn’t break user experience.

Lax mode, just like , forbids the browser to send cookies when coming from outside the site, but adds an exception.

A cookie is sent if both of these conditions are true:

1. The HTTP method is “safe” (e.g. GET, but not POST).

   The full list of safe HTTP methods is in the RFC7231 specification. Basically, these are the methods that should be used for reading, but not writing the data. They must not perform any data-changing operations. Following a link is always GET, the safe method.

2. The operation performs top-level navigation (changes URL in the browser address bar).

   That’s usually true, but if the navigation is performed in an , then it’s not top-level. Also, JavaScript methods for network requests do not perform any navigation, hence they don’t fit.

So, what does is basically allows a most common “go to URL” operation to have cookies. E.g. opening a website link from notes satisfies these conditions.

But anything more complicated, like a network request from another site or a form submission loses cookies.

If that’s fine for you, then adding will probably not break the user experience and add protection.

Overall, is a great option, but it has an important drawback:

samesite is ignored (not supported) by old browsers, year 2017 or so.

So if we solely rely on to provide protection, then old browsers will be vulnerable.

But we surely can use together with other protection measures, like xsrf tokens, to add an additional layer of defence and then, in the future, when old browsers die out, we’ll probably be able to drop xsrf tokens.

Кто может получить доступ к файлам cookie?

Когда cookie создается, можно контролировать его видимость, устанавливая его «корневой домен». Затем он будет доступен для любого URL, принадлежащего этому корню. Например, для корня может быть установлено значение «pyatilistnik.org», и файл cookie будет доступен для сайтов по адресу www.pyatilistnik.org, «xyz.pyatilistnik.org» или «pyatilistnik.org». Это может быть использовано для того, чтобы связанные страницы могли «общаться» друг с другом. Невозможно установить корневой домен для доменов «верхнего уровня», таких как «.com» или «.co.uk», поскольку это обеспечит широкий доступ к файлам cookie.

По умолчанию файлы cookie видны для всех путей в своих доменах, но во время создания они могут быть перенаправлены на определенный подпуть — например, «www.whatarecookies.com/images».

Заблуждение №2: Куки это определенная разновидность вирусов и поэтому могут нанести вред компьютеру.

На самом деле надо понимать, что cookie файлы это не программы, а обычные текстовые данные, поэтому они не могут самостоятельно запускаться и выполнять какие-то действия. Текст сам по себе не может ни запустить вирус, ни шпионить (отправлять секретные данные), ни стереть данные с жесткого диска. Отсюда также следует, что куки не  могут рассылать/принимать СПАМ, не могут запускать всплывающие рекламные окна и т.д.

Это, пожалуй, два самых распространенных мифа и как вы видите, они не имеют ничего общего с правдой – куки просто хранят информацию о пользователе, для того чтобы (в основной своей массе) облегчить ему жизнь в интернете. Ну а чтобы нарисовать полную картину о куки-файлах, надо отметить ещё некоторые вредные последствия от их хранения в компьютере, а также поговорить об их удалении.

Во-первых, если не удалять cookie файлы (хотя бы иногда), то со временем (при постоянном пользовании интернетом) их накапливается в компьютере достаточно много и они начинают занимать место на жестком диске. А т.к. хранятся куки обычно на системном диске, то система может начать «тормозить» (из-за недостаточного объема свободного места на этом диске).

Во-вторых, стирать куки надо обязательно в тех случаях, когда необходимо скрыть следы своей компьютерной деятельности или есть подозрения, что нашим компьютером мог воспользоваться злоумышленник. Если же нам нечего скрывать (в плане посещенных сайтов и ввода информации на них), то удалять куки необязательно.

В любом случае, удалять куки или нет, решает каждый сам для себя. Ничего реально опасного куки не несут, но и их удаление ничем страшным не грозит, кроме того, что на некоторых сайтах придется повторно пройти авторизацию (не путайте с регистрацией).

Коротко о главном

В переводе с английского cookie – печеньки, между тем на деле термин не имеет ничего общего со сладкой выпечкой. Куки представляют собой небольшие фрагменты текста, которые отправляются с веб-сервера. Отправка происходит в момент, когда браузер открывает веб-страницу (что такое веб-страница я описывал здесь) выбранного интернет-ресурса, при этом данные высылаются в составе HTTP запроса.

Цели отправки разносторонние, но основная – различение пользователей и хранение о них информации. Это удобно, так как если те авторизуются на сайте, система запоминает на определенное время их логин и пароль (что это такое я писал здесь) и в дальнейшем пропускает без дополнительной авторизации.

Есть у куки и другие задачи:

Но, главное, благодаря куки, браузер запоминает отдельные данные и не запрашивает их каждый раз при входе на сайт, а это уменьшает нагрузку на сервер.

Подытоживая все вышесказанное, стоит отметить, что куки не нужно опасаться. Они представляют собой фрагменты данных, которые изначально отправляются с сервера браузеру, а при каждом новом посещении сайта пересылаются браузером обратно. К слову, понять принцип работы браузера можно, прочитав эту статью. Также cookie-файлы создаются скриптами, если они поддерживаются и включены в браузере.

Как добиться баланса?

Как же можно добиться оптимального сочетания удобства и приватности? Начните с простого разделения на основные и сторонние cookie-файлы. Основные cookie-файлы действуют только в пределах своего сайта. Если вы ушли с сайта, cookie не будут следить за вами. Основные cookie только записывают ваши предпочтения на конкретном сайте и в большинстве случаев нужны для запоминания учетных записей.

Но сторонние cookie-файлы этим не ограничиваются. Сторонний cookie может принадлежать рекламодателю, размещающему рекламные объявления на нескольких сайтах, которые вы посещаете. Он знает, что, например, вы заходили на Amazon в поисках ноутбука. Теперь же, если вы попадаете на другой сайт, где данный рекламодатель размещает рекламу (например, сайт какого-нибудь издания), вы увидите рекламу того же самого ноутбука, который вы искали на Amazon. Или рекламу того, что там же искал ваш супруг (супруга). Или, скажем, ваш супруг (супруга) может сесть за тот же компьютер, зайти на Facebook и увидеть, что вы хотели купить ему (ей) на день рождения, испортив сюрприз.

На самом деле это еще наименее раздражающие аспекты сторонних cookie-файлов. Давайте не будем забывать, что информация о вас не исчезает, а накапливается в базах данных, на основе которых неизвестные вам организации составляют ваш полный портрет, чтобы использовать его для собственной выгоды. При этом им по большому счету абсолютно плевать на ваше право на частную жизнь.

Помимо этого cookie могут быть сессионными и постоянными. Сессионные cookie следят за пользователем, пока он находится на определенном сайте. Поменяйте язык на сайте — и другие страницы сайта также будут отображаться на этом языке. Если на следующий день вы вернетесь на этот сайт, вам, возможно, снова придется менять язык — когда вы закрываете браузер, сессионные cookie удаляются.

Постоянные cookie живут в вашем компьютере до тех пор, пока срок их жизни не истечет или пока вы их сами не удалите.

О cookie-файлах можно говорить еще долго, но самое важное, что вы должны понять, — это как их контролировать. Можно управлять cookie-файлами через настройки браузера

В этом случае «контролировать» означает «удалять». Вы можете либо вручную удалять их время от времени, либо делать это через интерфейс истории браузера, либо изменить настройки таким образом, чтобы cookie удалялись автоматически. По ссылкам мы приводим подробные инструкции для , и .

Как управлять cookie-файлами в Google Chrome

1. Кликните на выпадающее меню в правом верхнем углу и выберите Настройки → Показать дополнительные настройки… → Настройки контента.
2. В пункте Cookie выберите Удалять локальные данные при закрытии браузера.
3. Поставьте галочку напротив пункта Блокировать сторонние cookie и данные сайтов.

Как управлять cookie-файлами в Mozilla Firefox

1. Кликните на выпадающее меню в правом верхнем углу и выберите Настройки.
2. Выберите Приватность в панели слева.
3. В пункте История выберите Будет использовать ваши настройки хранения истории из выпадающего меню, а затем кликните Никогда в пункте Принимать куки со сторонних сайтов.
4. Установите значение настройки Сохранять куки на До закрытия мною Firefox.

Как управлять cookie-файлами в Microsoft Edge или Internet Explorer

В Internet Explorer:

1. Вызовите выпадающее меню в верхнем правом углу и выберите Настройки Интернета…
2. Во вкладке Приватность кликните на Дополнительно.
3. Поставьте галочку напротив Отключить автоматическое управление куки.
4. Выберите Блокировать для сторонних cookie-файлов и поставьте галочку напротив Всегда разрешать основные куки.

В Edge:

1. Вызовите выпадающее меню в правом верхнем углу и выберите Параметры.
2. В пункте Очистить данные браузера кликните на Выберите, что нужно очистить.
3. Выберите Файлы cookie и сохраненные данные веб-сайтов, а также другие данные, которые хотите удалить, а затем кликните Очистить.
4. Кликните на стрелки влево вверху окна, чтобы вернуться в основное диалоговое окно «Параметры».
5. Пролистайте вниз и кликните Посмотреть доп. параметры.
6. Пролистайте вниз до настроек cookie-файлов и выберите Блокировать только сторонние cookie.

Здесь мы должны отметить, что при удалении всех веб-cookie вы автоматически снимете все свои галочки «Запомнить меня» на посещенных сайтах, включая сайты, поддерживающие двухфакторную аутентификацию. Это цена, которую вы платите за приватность.

Summary

provides access to cookies

• write operations modify only cookies mentioned in it.
• name/value must be encoded.
• one cookie up to 4KB, 20+ cookies per site (depends on a browser).

Cookie options:

• , by default current path, makes the cookie visible only under that path.
• , by default a cookie is visible on current domain only, if set explicitly to the domain, makes the cookie visible on subdomains.
• or sets cookie expiration time, without them the cookie dies when the browser is closed.
• makes the cookie HTTPS-only.
• forbids the browser to send the cookie with requests coming from outside the site, helps to prevent XSRF attacks.

Additionally:

• Third-party cookies may be forbidden by the browser, e.g. Safari does that by default.
• When setting a tracking cookie for EU citizens, GDPR requires to ask for permission.