Что бы хранил в Cookies

Да ты посмотри, какие эти куки удобные штуки, блядь! Прямо как карманы у старой куртки — сунешь туда какую-нибудь мелочь, а она потом под рукой. Идеально для разной ерунды, которая должна пережить, если ты вкладку закрыл и опять зашёл.

Вот, например, куда их применяют, эти пакетики с данными:

1. Всякие токены доступа (ну, эти самые JWT, которые как ключи от квартиры). Засунул — и ходишь по сайту авторизованный.

   document.cookie = `token=${jwtToken}; path=/; max-age=3600`;

2. Пользовательские понты — тёмная тема, язык, чтоб не тыкать каждый раз.

   document.cookie = `theme=dark; path=/`;

3. Номерок сессии (session_id), чтобы сервер тебя узнавал, а не как того Герасима — немого и глухого.
4. Корзину с покупками в каком-нибудь интернет-лавчонке, если там сервер — ленивая жопа и ничего не помнит.

А вот что туда совать — это пиздец как не стоит, ёпта:

• Пароли или другую конфиденциальную хуйню. Это ж как оставить ключи под ковриком — любой XSS-скрипт их схавает.
• Овердохуища данных. Там лимит, сука, около 4 килобайт на весь домен — не склад, а спичечный коробок.
• Что-то архиважное. Их же любой юзер может почистить, а злоумышленник — подделать, манда с ушами!

Поэтому, если не хочешь, чтобы тебя обосрали, ставь правильные флаги, как замки на дверь:

• Secure — чтоб только по HTTPS летали, а не по голому протоколу.
• HttpOnly — защита от этих хитрожопых XSS-скриптов, чтоб они не могли до куки дотянуться.
• SameSite — чтоб с других сайтов не приползали со своими грязными CSRF-атаками.

А если тебе нужно хранить что-то объёмное или сложное — это не к кукам. Тут уже надо localStorage или IndexedDB смотреть, там места побольше. Куки — для печенек, а не для целого торта.