この単純な機能が、WWWの世界で新しいタイプのアプリケーションを実現させる強力なツールをホストたちへ提供しました。ショッピング関連のアプリケーションは現在どのような商品が選択されているかの情報を蓄え、購入者はわざわざユーザIDを入力しなくても支払に関する情報が返せます。そして、1人1人の顧客情報はサイトへ蓄積され、同じ顧客が訪れた場合、クライアント側は毎回その情報を引き出すことが可能です。
特定のドメイン内のホストのみがドメインのためのcookieを設定でき、またドメインは".com"、".edu"、"va.us"といった形式のドメインを防ぐため、そこへ最低2つか3つのピリオド(.)が必要です。"com"、"edu"、"net"、"org"、"gov"、"mil"、"int"という7つのトップレベルでのドメインであれば、2つのピリオドしか必要ありません。ドメインのデフォルト(初期設定)値はcookieの交信を起こすサーバーのホスト名です。
サーバはクライアントへこれらの制約以上を望めません。300のcookieかサーバあたり20のcookieという限界を超えればクライアント側で最近使ったcookieが削除され、4キロバイトより大きいcookieは強制的にそのサイズへ収められます。ただし、サイズが4キロバイトである限りnameはそのままです。
HTTP Cookies
Cookieとは?
Cookieとは、CGIスクリプトのようなサーバ側がクライアント側で情報を貯めたり回収したりできる総合的な機能です。単純で持続性を持ったクライアント側の情報を加えることで、WWWのクライアント・サーバ・アプリケーションは驚くほど限界が広がります。概要
サーバはHTTPオブジェクトをクライアントへ返す時、クライアント側で貯めておく情報を送ることが可能です。その情報の対象は、URLの有効範囲に関する詳細などが含まれます。将来のクライアントからのあらゆるHTTPリクエストは、いまクライアントがサーバへ返すステートオブジェクトを含む範囲に収まります。名前の由来はわかりませんが、cookieとはそのステートオブジェクトのことです。詳細
cookieはHTTPレスポンスの一部としてSet-Cookieヘッダを含むことでクライアントへ渡され、CGIスクリプトを用いるのが典型的なやり方です。HTTPレスポンスヘッダのシンタックス(Set-Cookie)
これは、今後のためにクライアント側で貯めておく新しい情報をHTTPヘッダへ加えるCGIスクリプトの形式です。
Set-Cookie: name=value; expires=date;
path=path; domain=domain_name; secure
この形式はRFC 850、RFC 1036、RFC 822に基づいており、さまざまなバリエーションがある中で時間の指定のみグリニッジ標準時間(GMT)を用い、他の日にちの要素とダッシュ(-)で区切らなくてはなりません。expires属性が指定されない場合、cookieはユーザとのセッションが終わった時点で期限切れとなります。
Wdy, dd-Mon-yy hh:mm:ss gmt
ネットスケープ1.1以前のバージョンではバグがあり、cookiesに指定したpath属性の"/"はexpires属性が指定された場合のみ、セッション後も保存されます。 HTTPリクエストヘッダのシンタックス(Cookie)
HTTPサーバからURLのリクエストがあった時、ブラウザ(閲覧ソフト)はURLをすべてのcookieと照合し、マッチしたすべてのcookieのname/valueを含む行がHTTPのリクエストへ含まれます。形式は以下のとおりです。
Cookie: name1=opaque_string1; name2=opaque_string2 ...
追記
複数のSet-Cookieヘッダが単独のサーバからの交信で発行できます。 同じpathとnameの場合はお互いの間で上書きされ、一番新しいものが引き継ぎます。また、同じpathで違うnameの場合は、新たなマッピング(path指定)が追加されます。 pathへさらにレベルの高いvalueを指定しても、より詳しい相手のpathマッピングを上書きしません。もし与えられたcookieとnameだけ一致してpathは違うものが2つ以上マッチすれば、マッチしたものはすべてが送られます(下記の例を参照)。 expiresヘッダはクライアントへ、いつならクライアントが要求されなくてもマッピングを削除して大丈夫かを知らせます。いっぽうクライアントは、期限切れの前であろうとcookieの数が限界を超えた場合など自分でcookieを削除することは可能です。 cookieをサーバへ送る時、より詳しいpathのマッピングが先行し、簡単なものは後回しとなります。たとえば、同時に送られた場合、pathのマッピングが"/"で"name1=yok"というcookieは、pathのマッピングが"/bar"で"name1=yok2"というcookieの後から送り出されます。 クライアントが1度に蓄えられるcookieは数などの制約があります。次はクライアント側で受け取り、蓄えられる最低量です。 CGIスクリプトがcookieの削除を求めた場合、同じnameのcookieを返すことでそれを行い、返されるcookieのexpiresは過去の時間となります。ただ、期限切れのcookieを有効なcookieと置き換えるためpathとnameが完全にマッチしなくてはならず、そのcookieの創始者以外の者が削除することは困難です。 proxyサーバとしてHTTPを受ける時、Set-cookieのレスポンスヘッダは受け取りません。 仮にproxyサーバへSet-cookieヘッダを含む返答があったとしたら、クライアントへ返すSet-cookieヘッダに304(Not Modified)か200(OK)などの注意があるはずです。同じくクライアントのリクエストは、もしcookieのヘッダを含んでいるなら、それがリクエスト後に書き替えられていようとproxy経由で送り出されなくてはなりません。 例
cookieの使い方が理解しやすいよう、次に交信例をあげておきます。交信例その1
Set-Cookie: customer=wile_e_coyote; path=/; expires=Wednesday, 09-Nov-99 23:12:40 gmt
Cookie: customer=wile_e_coyote
Set-Cookie: part_number=rocket_launcher_0001; path=/
Cookie: customer=wile_e_coyote; part_number=rocket_launcher_0001
Set-Cookie: shipping=fedex; path=/yok
クライアントがURLをこのサーバのパス名("/yok")でリクエストすれば、それは以下のような形で送られます。
Cookie: customer=wile_e_coyote; part_number=rocket_launcher_0001
Cookie: customer=wile_e_coyote; part_number=rocket_launcher_0001; shipping=fedex
交信例その2
Set-Cookie: part_number=rocket_launcher_0001; path=/
Cookie: part_number=rocket_launcher_0001
Set-Cookie: part_number=riding_rocket_0023; path=/ammo
Cookie: part_number=riding_rocket_0023; part_number=rocket_launcher_0001
ここでは"/ammo"というマッピングに加えて"/"のマッピングがあるため、"part_number"と呼ばれるname/valueは2組存在します。