cookie最大4k,最多20个key-value对 参考: http://support.microsoft.com/kb/306070

每个 cookie 开头名称值对。 此对是并后跟零或者由分号分隔的多个属性-值对。 对于一个域名每个 cookie 被限制为 4,096 字节。 该总计可以存在的 4 千字节 (KB) 的一个名称-值对形式,或者为最多 20 个名称-值对的总的 4 KB。如果在计算机上没有足够空间来存储 Cookie,会丢弃该 Cookie。 将被截尾取不整。 应用程序应该使用尽可能少的 Cookie 尽可能和为小写 Cookie 尽可能。 此外,应用程序应能够处理 cookie 丢失。

Subcookie 经常看到这样的cookie,它有个名字叫 Subcookie , 用来突破cookie数量限制 name=a=b&c=d&e=f&g=h 它的解析,参考这里 http://developer.yahoo.com/yui/cookie/ http://www.whatstyle.net/articles/28/subcookies HTTP-Only 参考 https://www.owasp.org/index.php/HTTPOnly#Browsers_Supporting_HTTPOnly

IE, Firefox 2.0.0.5+, Opera 9.5+, and Chrome also support HTTP-only cookies. Safari as of 3.2 still does not. 大部分浏览器已经支持,所以可以使用这个属性了