cookie中允许使用哪些字符?

cookie名称和值中允许的字符是什么?它们与URL或某个公共子集相同吗?

我问的原因是，我最近遇到了一些奇怪的行为与cookie有-在他们的名字，我只是想知道这是特定于浏览器或我的代码是错误的。

当前回答

在这里，尽可能简短地说。专注于那些不需要逃跑的角色:

For cookie:

abdefghijklmnqrstuvxyzABDEFGHIJKLMNQRSTUVXYZ0123456789!#$%&'()*+-./:<>?@[]^_`{|}~

为url

abdefghijklmnqrstuvxyzABDEFGHIJKLMNQRSTUVXYZ0123456789.-_~!$&'()*+,;=:@

对于cookie和url(交集)

abdefghijklmnqrstuvxyzABDEFGHIJKLMNQRSTUVXYZ0123456789!$&'()*+-.:@_~

这就是你的回答。

注意，对于cookie， =已被删除，因为它是通常用于设置cookie值。

对于url this the =被保留。十字路口显然没有。

var chars = "abdefghijklmnqrstuvxyz"; chars += chars.toUpperCase() + "0123456789" + "!$&'()*+-.:@_~";

事实证明，转义仍然会发生，而且还会发生意想不到的情况，特别是在Java cookie环境中，如果遇到最后一个字符，cookie就会用双引号包装。

安全起见，就用A-Za-z1-9。这就是我要做的。

2017-08-06 21:26:28

其他回答

在ASP。在写入cookie之前，可以使用System.Web.HttpUtility对cookie值进行安全编码，并在读取时将其转换回原始形式。

// Encode
HttpUtility.UrlEncode(cookieData);

// Decode
HttpUtility.UrlDecode(encodedCookieData);

这将阻止&号和等号将一个值写入cookie时分割成一堆名称/值对。

2011-02-28 15:34:58

如果你稍后使用变量，你会发现像path这样的东西实际上会让重音字符通过，但它实际上并不匹配浏览器路径。为此，您需要对它们进行URIEncode。比如这样:

  const encodedPath = encodeURI(myPath);
  document.cookie = `use_pwa=true; domain=${location.host}; path=${encodedPath};`

因此，“允许的”字符可能比规范中规定的要多。但为了安全起见，您应该遵守规范，并使用uri编码的字符串。

2019-12-04 14:24:48

更新的rfc6265发布于2011年4月:

cookie-header = "Cookie:" OWS cookie-string OWS
cookie-string = cookie-pair *( ";" SP cookie-pair )
cookie-pair  = cookie-name "=" cookie-value
cookie-value = *cookie-octet / ( DQUOTE *cookie-octet DQUOTE )

cookie-octet = %x21 / %x23-2B / %x2D-3A / %x3C-5B / %x5D-7E
                   ; US-ASCII characters excluding CTLs,
                   ; whitespace DQUOTE, comma, semicolon,
                   ; and backslash

如果你看看@bobince的答案，你会发现新的限制更加严格。

2014-07-24 15:53:16