Что такое HTTP cookies и для чего они используются?

Question

Что такое HTTP cookies и для чего они используются?

Тип вопроса: HTTP и веб-протоколы Вероятность: 27% Категория: QA Тестировщик

Ответ

HTTP cookies (куки) — это небольшие фрагменты данных (парные ключ=значение), которые сервер отправляет браузеру пользователя в HTTP-ответе. Браузер сохраняет их и автоматически отправляет обратно серверу с каждым последующим запросом к тому же домену.

Основные цели использования:

Управление сессией (Session Management): Самый частый случай. Кука с уникальным идентификатором сессии (sessionid) позволяет серверу «узнавать» пользователя между запросами.
```
# Ответ сервера (установка куки)
HTTP/1.1 200 OK
Set-Cookie: sessionId=abc123xyz; Path=/; HttpOnly; Secure

# Последующий запрос браузера (отправка куки)
GET /dashboard HTTP/1.1
Host: example.com
Cookie: sessionId=abc123xyz
```
Персонализация (Personalization): Сохранение пользовательских предпочтений (тема, язык, регион).
Трекинг (Tracking): Отслеживание поведения пользователя между сайтами (часто через сторонние куки) для аналитики и рекламы.

Важные атрибуты куки (директивы Set-Cookie):

Expires=<date> / Max-Age=<number> — определяют срок жизни. Без них кука считается сессионной и удаляется при закрытии браузера.
Domain и Path — определяют, к каким URL кука будет отправляться.
Secure — кука будет отправлена только по защищенному протоколу HTTPS.
HttpOnly — запрещает доступ к куке через JavaScript (document.cookie), защищая от XSS-атак.
SameSite — контролирует отправку кук с cross-site запросами, защищая от CSRF-атак. Значения: Strict, Lax, None.

Аспекты для тестирования:

Корректность установки и удаления (логаут).
Соблюдение политик безопасности (HttpOnly, Secure, SameSite).
Влияние на функциональность при отключении кук в браузере.
Хранение чувствительных данных (недопустимо — пароли, токены должны быть в HttpOnly куках или localStorage).

Ответ 18+ 🔞

А, куки! Ну это ж классика, блядь, основа основ, как хлеб с маслом в интернете. Представь себе, ты заходишь на сайт, а он тебе, как в детском саду на шею, вешает бирочку: «Смотри, мальчик Вася, вот твой идентификатор, не потеряй, сука!». И ты с этой бирочкой по всему сайту бегаешь, а администраторы (сервер) смотрят и кивают: «А, это Вася вернулся, пускай».

По-простому, это такие мелкие записочки (ключ=значение), которые сервер пихает твоему браузеру в ответе, а браузер, как послушный дурачок, потом при каждом чихе обратно на этот домен их таскает, сука, в каждом запросе.

Зачем это, блядь, нужно? Да в основном, чтобы не быть полным распиздяем и помнить, кто ты такой.

Сессии, ёпта (Session Management): Самый частый трюк. Ты залогинился, а тебе впаривают куку с каким-нибудь sessionid=abc123xyz. Браузер её схомячил, и теперь с каждым твоим кликом ты её, как пропуск, предъявляешь. Сервер глядит: «О, abc123xyz… Так, этот чувак уже авторизован, пущай смотрит свои котиков в ленте».
```
# Сервер тебе вешает бирку (в ответе):
HTTP/1.1 200 OK
Set-Cookie: sessionId=abc123xyz; Path=/; HttpOnly; Secure

# А ты потом, как дурак, её везде таскаешь (в запросе):
GET /dashboard HTTP/1.1
Host: example.com
Cookie: sessionId=abc123xyz
```
Персонализация: Чтоб не спрашивать каждый раз, на каком ты языке или в тёмной ли теме сидишь. Сохранили в куку theme=dark — и живи, довольный, в потёмках.
Слежка, блядь (Tracking): Ну тут уже повеселее. Это когда рекламные сети через куки с других сайтов за тобой, как сыщики, ходят, чтобы потом показывать тебе ту самую дурацкую табуретку, которую ты один раз в жизни погуглил. Пидары, короче.

А теперь, блядь, самое важное — атрибуты. Это не просто записочка, а целая инструкция по применению, ядрёна вошь!

Expires / Max-Age — срок годности. Если нет — кука «сессионная» и сдохнет, как только браузер закроешь. Поставили дату — будет лежать, как падаль, месяцами.
Domain и Path — где действует пропуск. На весь сайт или только в раздел /secret-base/.
Secure — только по HTTPS. Без этого флага куку могут украсть, как дуру, по открытому соединению.
HttpOnly — главный защитник от ушлых JS-скриптов! Если этот флаг стоит, то никакой JavaScript через document.cookie до этой куки не доберётся. Это чтоб, если на сайте XSS-дыра, злодеи не спиздили твою сессию. Хранить пароли или токены без этого флага — это просто, блядь, кричать в толпу «КОШЕЛЁК У МЕНЯ В ПРАВОМ КАРМАНЕ!».
SameSite — защита от наглых соседей (CSRF). Контролирует, отправлять ли куку, когда запрос пришёл с другого сайта. Strict — ни за что, Lax — только для безопасных переходов, None — похуй, отправляй (но тогда обязательно с Secure).

На что смотреть тестировщику, чтобы не облажаться?

Ставится и удаляется ли? Залогинился — кука появилась. Вышел — её, блядь, не должно быть. А то бывает, выйдешь, а она как прилипала, так и торчит.
Безопасность, ёпта! Токены и сессии — только с HttpOnly и Secure. SameSite в норме должен быть Lax или Strict. Иначе — подозрение ебать чувствую.
А если я параноик и куки отключил? Сайт не должен развалиться в хлам. Должна быть какая-то вменяемая заглушка.
Что в них пишут? Чувствительные данные (пароли, номера карт) в куках — это прям писец, манда с ушами. Это нарушение всех мыслимых норм. Для этого есть HttpOnly куки или, в крайнем случае, localStorage (но тоже с умом).

Вот и вся магия, блядь. Казалось бы, мелочь, а без неё весь современный веб накрылся бы медным тазом.