http cookie ：是服务器发送发送到用户浏览器并保存在本地一小块数据，浏览器会在下次向同一服务器发起请求时被携带并发送到服务器。数据一般是用户的登陆状态。

Cookie 主要用于以下三个方面：
1.会话状态管理（如用户登录状态、购物车、游戏分数或其它需要记录的信息）
2.个性化设置（如用户自定义设置、主题等）
3.浏览器行为跟踪（如跟踪分析用户行为等）
4.Cookie 曾一度用于客户端数据的存储，因当时并没有其它合适的存储办法而作为唯一的存储手段，但现在随着现代浏览器开始支持各种各样的存储方式，Cookie 渐渐被淘汰。由于服务器指定 Cookie 后，浏览器的每次请求都会携带 Cookie 数据，会带来额外的性能开销（尤其是在移动环境下）。新的浏览器API已经允许开发者直接将数据存储到本地，如使用 Web storage API （本地存储和会话存储）或 IndexedDB 。

创建Cookie：当服务器收到 HTTP 请求时，服务器可以在响应头里面添加一个 Set-Cookie 选项，Cookie 的过期时间、域、路径、有效期、适用站点都可以根据需要来指定。。

定义cookie的生命周期：Expires-过期时间、Max-Age-有效期
Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT;

限制访问Cookie：Secure属性、HttpOnly属性
被标记了Secure属性的Cookie只应通过HTTPS协议加密过的请求发送给服务器。
JavaScript Document.cookie API 无法访问带有 HttpOnly 属性的cookie；此类 Cookie 仅作用于服务器。

Cookie的作用域：Domain\Path标识定义了Cookie的作用域，允许Cookie应该发送给哪些URL。
Domain：Domain 指定了哪些主机可以接受 Cookie。如果不指定，默认为 origin，不包含子域名。
Path 属性：Path 标识指定了主机下的哪些路径可以接受 Cookie（该 URL 路径必须存在于请求 URL 中）。以字符 %x2F ("/") 作为路径分隔符，子路径也会被匹配。
SameSite attribute：SameSite Cookie 允许服务器要求某个 cookie 在跨站请求时不会被发送，（其中 Site (en-US) 由可注册域定义），从而可以阻止跨站请求伪造攻击（CSRF）。

JavaScript 通过 Document.cookie 访问 Cookie
通过 Document.cookie 属性可创建新的 Cookie，也可通过该属性访问非HttpOnly标记的Cookie，通过 JavaScript 创建的 Cookie 不能包含 HttpOnly 标志。

document.cookie = "yummy_cookie=choco";
document.cookie = "tasty_cookie=strawberry";
console.log(document.cookie);
// logs "yummy_cookie=choco; tasty_cookie=strawberry"

xss攻击：Cross Site Scripting，跨站脚本攻击，攻击者利用嵌入恶意代码到用户访问的页面中。
1、盗用cookie，获取敏感信息。
2、利用植入Flash，通过crossdomain权限设置进一步获取更高权限；或者利用Java等得到类似的操作。
3、利用iframe、frame、XMLHttpRequest或上述Flash等方式，以（被攻击）用户的身份执行一些管理动作，或执行一些一般的如发微博、加好友、发私信等操作。
4、利用可被攻击的域受到其他域信任的特点，以受信任来源的身份请求一些平时不允许的操作，如进行不当的投票活动。
5、在访问量极大的一些页面上的XSS可以攻击一些小型网站，实现DDoS攻击的效果。

csrf攻击：Cross-Site request forgery。跨站请求伪造，攻击者并不能通过CSRF攻击来直接获取用户的账户控制权，也不能直接窃取用户的任何信息。他们能做到的，是欺骗用户浏览器，让其以用户的名义运行操作。