- 不能跨域:从而无法和子域名共享cookie。比如 example.com有子域名 static.example.com,在example.com页面产生的向stactic.example.com的请求无法使用exmaple.com页面下的cookie。
- XSRF(Cross-site request forgery)攻击:在用户不知情的情况下发起请求,比如有人在论坛上有人加入图片标签
<img src='www.bank.com/***'>
,其他用户加载页面时,会自动向bank.com发起请求。如果bank.com是基于cookie的验证方式,那么这个请求就可能会被通过,实现向攻击者转账。 - 增加传输体积:在每个请求中都会传输,即使是不需要验证身份的请求。
- 空间有限: 不同浏览器的限制不同,>4KB,<5MB
- API操作不便:
document.cookie = "name=oeschger";
