node中的HTTP模块会将所有的报文字段解析到 req.headers 上，那么Cookie就是 req.headers.cookie 。根据规范中的定义，Cookie值的格式是 key=value; key2=value2形式的，如果我们需要Cookie，解析它也十分容易，如下所示：

let parseCookie = (cookie) => {let cookies = {};if (!cookie) {return cookies;  }let list = cookie.split(';');for (let i = 0; i < list.length; i++) {let pair = list[i].split('=');    cookies[pair[0].trim()] = pair[1];  }return cookies;};

function handle (req, res) {  req.cookies = parseCookie(req.headers.cookie);// 处理请求}

响应的Cookie值在 Set-Cookie 字段中。它的格式与请求中的格式不太相同，规范中对它的定义如下所示：

Set-Cookie: name=value; Path=/; Expires=Sun, 23-Apr-23 09:01:35 GMT; Domain=.domain.com;

其中 name=value 是必须包含的部分，其余部分皆是可选参数。这些可选参数将会影响浏览器在后续将Cookie发送给服务器端的行为。以下为主要的几个选项。

1. path 表示这个Cookie影响到的路径，当前访问的路径不满足该匹配时，浏览器则不发送这个Cookie。

2. Expires 和 Max-Age 是用来告知浏览器这个Cookie何时过期的，如果不设置该选项，在关闭浏览器时会丢失掉这个Cookie。如果设置了过期时间，浏览器将会把Cookie内容写入到磁盘中并保存，下次打开浏览器依旧有效。 Expires 的值是一个UTC格式的时间字符串，告知浏览器此Cookie何时将过期， Max-Age 则告知浏览器此Cookie多久后过期。前者一般而言不存在问题，但是如果服务器端的时间和客户端的时间不能匹配，这种时间设置就会存在偏差。为此， Max-Age 告知浏览器这条Cookie多久之后过期，而不是一个具体的时间点。

3. HttpOnly 告知浏览器不允许通过脚本 document.cookie 去更改这个Cookie值，事实上，设置HttpOnly 之后，这个值在 document.cookie 中不可见。但是在HTTP请求的过程中，依然会发送这个Cookie到服务器端。

4. Secure 。当 Secure 值为 true 时，在HTTP中是无效的，在HTTPS中才有效，表示创建的Cookie只能在HTTPS连接中被浏览器传递到服务器端进行会话验证，如果是HTTP连接则不会传递该信息，所以很难被窃听到。

知道Cookie在报文头中的具体格式后，下面我们将Cookie序列化成符合规范的字符串，相关代码如下：

let serialize = function (name, val, opt) {let pairs = [`${name}=${val}`];  opt = opt || {};if (opt.maxAge) pairs.push('Max-Age = ' + opt.maxAge);if (opt.domain) pairs.push('Domain=' + opt.domain);if (opt.path) pairs.push('Path=' + opt.path);if (opt.expires) pairs.push('Expires=' + opt.expires.toUTCString());if (opt.httpOnly) pairs.push('HttpOnly');if (opt.secure) pairs.push('Secure');return pairs.join('; ');};

客户端收到这个带 Set-Cookie 的响应后，在之后的请求时会在Cookie字段中带上这个值。值得注意的是， Set-Cookie 是较少的，在报头中可能存在多个字段。为此 res.setHeader 的第二个参数可以是一个数组，如下所示：

res.setHeader('Set-Cookie', [serialize('foo', 'bar'), serialize('baz', 'val')])

Cookie的性能影响

1. 减小Cookie的大小

2. 为静态组件使用不同的域名

3. 减少DNS查询