Web cookie 详解

总结：服务端客户端变量建议都是用 utf-8字符集， 前后传递的变量都建议使用url编码处理。php setcookie 保存到客户端的变量会自动url编码的， 所以客户端获取后需要decodeURIComponent解码

客户端自己存变量前建议用encodeURIComponent先编码在存在，利于统一和减少因为编码或者字符集引起的问题。

PHP 服务端： 需要特别注意path路径设置以/，同时路径加变量名唯一确定cookie的作用域  urlencode  urldecode

urlencode和rawurlencode的区别：
urlencode 将空格则编码为加号（+）
rawurlencode 将空格则编码为加号（%20）

urldecode %20,+都解码为空格  rawurldecode %20解码空格 +号不变，虽然这样但是要注意的是

测试代码：

echo urlencode('我+a的 等我');
echo urldecode('%E6%88%91%2Ba%E7%9A%84+%E7%AD%89%E6%88%91');
echo urldecode('%E6%88%91%2Ba%E7%9A%84%20%E7%AD%89%E6%88%91');
echo rawurlencode('我+a的 等我');
echo rawurldecode('%E6%88%91%2Ba%E7%9A%84+%E7%AD%89%E6%88%91');
echo rawurldecode('%E6%88%91%2Ba%E7%9A%84%20%E7%AD%89%E6%88%91');

1.设置setcookie('classGUID',$classGUID,time()+3600*24,'/');

2.获取$_COOKIE['key']

3.删除setcookie('classGUID',$classGUID,time()-3600*24,'/');

客户端js: escape 被w3c弃用了，encodeURI使用UTF-8对非ASCII字符进行编码对整个路径url编码，encodeURIComponent使用UTF-8对非ASCII字符进行编码对单个变量编码

1.//设置cookie
function setCookie(cname, cvalue, exdays) {
var d = new Date();
d.setTime(d.getTime() + (exdays*24*60*60*1000));
var expires = "expires="+d.toUTCString();
document.cookie = cname + "=" + cvalue + "; " + expires;
}
2.//获取cookie
function getCookie(cname) {
var name = cname + "=";
var ca = document.cookie.split(';');
for(var i=0; i<ca.length; i++) {
var c = ca[i];
while (c.charAt(0)==' ') c = c.substring(1);
if (c.indexOf(name) != -1) return c.substring(name.length, c.length);
}
return "";
}
3.//清除cookie
function clearCookie(name) {
setCookie(name, "", -1);
}

escape，encodeURI，encodeURIComponent——都是用于将不安全不合法的Url字符转换为合法的Url字符表示，它们有以下几个不同点。

　　安全字符不同：

　　下面列出了这三个函数的安全字符（即函数不会对这些字符进行编码）

• escape（69个）：*/@+-._0-9a-zA-Z
• encodeURI（82个）：!#$&'()*+,/:;=?@-._~0-9a-zA-Z
• encodeURIComponent（71个）：!'()*-._~0-9a-zA-Z

　　兼容性不同：escape函数是从Javascript 1.0的时候就存在了，其他两个函数是在Javascript 1.5才引入的。但是由于Javascript 1.5已经非常普及了，所以实际上使用encodeURI和encodeURIComponent并不会有什么兼容性问题。

　　对Unicode字符的编码方式不同：这三个函数对于ASCII字符的编码方式相同，均是使用百分号+两位十六进制字符来表示。但是对于Unicode字符，escape的编码方式是%uxxxx，其中的xxxx是用来表示unicode字符的4位十六进制字符。这种方式已经被W3C废弃了。但是在ECMA-262标准中仍然保留着escape的这种编码语法。encodeURI和encodeURIComponent则使用UTF-8对非ASCII字符进行编码，然后再进行百分号编码。这是RFC推荐的。因此建议尽可能的使用这两个函数替代escape进行编码。

　　适用场合不同：encodeURI被用作对一个完整的URI进行编码，而encodeURIComponent被用作对URI的一个组件进行编码。从上面提到的安全字符范围表格来看，我们会发现，encodeURIComponent编码的字符范围要比encodeURI的大。我们上面提到过，保留字符一般是用来分隔URI组件（一个URI可以被切割成多个组件）或者子组件（如URI中查询参数的分隔符），如：号用于分隔scheme和主机，?号用于分隔主机和路径。由于encodeURI操纵的对象是一个完整的的URI，这些字符在URI中本来就有特殊用途，因此这些保留字符不会被encodeURI编码，否则意义就变了。

　　组件内部有自己的数据表示格式，但是这些数据内部不能包含有分隔组件的保留字符，否则就会导致整个URI中组件的分隔混乱。因此对于单个组件使用encodeURIComponent，需要编码的字符就更多了。

服务端设置cookie后 空格被编码为+，然而jsencodeURI，encodeURIComponent不能将加好解码成空格，处理方式可以 str.replace(/\+/g,"%20")将读取到的字符的+号先替换成%20，然后在encodeURIComponent。

测试验证代码如下：

echo urlencode('我的+ 等我');
setcookie('classGUID','ab s +',time()+3600*24,'/');
echo '<script >
window.onload=(function() {
var classGUID = getCookie("classGUID");
console.log(classGUID);
classGUID = classGUID.replace(/\+/g,"%20");
console.log(classGUID);
classGUID = decodeURIComponent(classGUID);
console.log(classGUID);
});
//设置cookie
function setCookie(cname, cvalue, exdays) {
var d = new Date();
d.setTime(d.getTime() + (exdays*24*60*60*1000));
var expires = "expires="+d.toUTCString();
document.cookie = cname + "=" + cvalue + "; " + expires;
}
//获取cookie
function getCookie(cname) {
var name = cname + "=";
var ca = document.cookie.split(";");
for(var i=0; i<ca.length; i++) {
var c = ca[i];
while (c.charAt(0)==" ") c = c.substring(1);
if (c.indexOf(name) != -1) return c.substring(name.length, c.length);
}
return "";
}
</script>';
die;

当Html的表单被提交时，每个表单域都会被Url编码之后才在被发送。由于历史的原因，表单使用的Url编码实现并不符合最新的标准。例如对于空格使用的编码并不是%20，而是+号，如果表单使用的是Post方法提交的，我们可以在HTTP头中看到有一个Content-Type的header，值为application/x-www-form-urlencoded。大部分应用程序均能处理这种非标准实现的Url编码，但是在客户端Javascript中，并没有一个函数能够将+号解码成空格，只能自己写转换函数。还有，对于非ASCII字符，使用的编码字符集取决于当前文档使用的字符集

参考：

http://blog.csdn.net/sunlovefly2012/article/details/46726561