> **Источник:** https://python-all.ru/2.7/library/cookie.html
>
> «Документация Python на русском» – неофициальный перевод официальной документации Python: версии от 2.6 до 3.16, полнотекстовый поиск, английский оригинал рядом с переводом. Эта Markdown-версия страницы предназначена для работы с LLM: вставьте её в ChatGPT, Claude или Cursor.

---

# 20.22. [`Cookie`](https://python-all.ru/2.7/library/cookie.html#module-Cookie) – управление состоянием HTTP

> **Примечание**
>
> Модуль [`Cookie`](https://python-all.ru/2.7/library/cookie.html#module-Cookie) переименован в `http.cookies` в Python 3. Инструмент [2to3](https://python-all.ru/2.7/glossary.html#term-2to3) автоматически адаптирует импорты при преобразовании исходных кодов в Python 3.

**Исходный код:** [Lib/Cookie.py](https://python-all.ru/src/2.7/Lib/Cookie.py)

---

Модуль [`Cookie`](https://python-all.ru/2.7/library/cookie.html#module-Cookie) определяет классы для абстрагирования концепции куки – механизма управления состоянием HTTP. Он поддерживает как простые куки, состоящие только из строк, так и абстракцию для использования любого сериализуемого типа данных в качестве значения куки.

Раньше модуль строго применял правила разбора, описанные в спецификациях [**RFC 2109**](https://python-all.ru/2.7/library/cookie.html) и [**RFC 2068**](https://python-all.ru/2.7/library/cookie.html). Но с тех пор выяснилось, что MSIE 3.0x не соблюдает описанные в этих спецификациях правила набора символов, и к тому же многие современные браузеры и серверы при работе с Cookie придерживаются менее строгих правил разбора. В результате используемые правила разбора стали несколько менее строгими.

Набор символов [`string.ascii_letters`](https://python-all.ru/2.7/library/string.html#string.ascii_letters), [`string.digits`](https://python-all.ru/2.7/library/string.html#string.digits) и `` !#$%&'*+-.^_`|~ `` обозначает множество допустимых символов, которые разрешены этим модулем в имени Cookie (как [`key`](https://python-all.ru/2.7/library/cookie.html#Cookie.Morsel.key)).

> **Примечание**
>
> При обнаружении недопустимой куки возбуждается исключение [`CookieError`](https://python-all.ru/2.7/library/cookie.html#Cookie.CookieError), поэтому, если данные куки поступают из браузера, всегда следует быть готовым к недопустимым данным и перехватывать [`CookieError`](https://python-all.ru/2.7/library/cookie.html#Cookie.CookieError) при разборе.

#### `exception Cookie.CookieError`

Исключение, возникающее из-за недействительности [**RFC 2109**](https://python-all.ru/2.7/library/cookie.html): неверные атрибуты, неверный заголовок *Set-Cookie* и т.д.

#### `class Cookie.BaseCookie([input])`

Этот класс является объектом, подобным словарю, ключи которого – строки, а значения – экземпляры [`Morsel`](https://python-all.ru/2.7/library/cookie.html#Cookie.Morsel). Обратите внимание, что при установке ключа в значение, это значение сначала преобразуется в объект [`Morsel`](https://python-all.ru/2.7/library/cookie.html#Cookie.Morsel), содержащий ключ и значение.

Если передан параметр *input*, он передаётся методу [`load()`](https://python-all.ru/2.7/library/cookie.html#Cookie.BaseCookie.load).

#### `class Cookie.SimpleCookie([input])`

Этот класс наследуется от [`BaseCookie`](https://python-all.ru/2.7/library/cookie.html#Cookie.BaseCookie) и переопределяет `value_decode()` и `value_encode()`, превращая их в identity и [`str()`](https://python-all.ru/2.7/library/functions.html#str) соответственно.

#### `class Cookie.SerialCookie([input])`

Этот класс наследуется от [`BaseCookie`](https://python-all.ru/2.7/library/cookie.html#Cookie.BaseCookie) и переопределяет `value_decode()` и `value_encode()`, чтобы они стали [`pickle.loads()`](https://python-all.ru/2.7/library/pickle.html#pickle.loads) и [`pickle.dumps()`](https://python-all.ru/2.7/library/pickle.html#pickle.dumps).

Устарело с версии 2.3: Чтение значений pickle из ненадёжных данных cookie – серьёзная уязвимость, так как строки pickle могут быть специально созданы для выполнения произвольного кода на вашем сервере. Она поддерживается только для обратной совместимости и может быть удалена в будущем.

#### `class Cookie.SmartCookie([input])`

Этот класс наследуется от [`BaseCookie`](https://python-all.ru/2.7/library/cookie.html#Cookie.BaseCookie). Он переопределяет `value_decode()` так, чтобы он возвращал [`pickle.loads()`](https://python-all.ru/2.7/library/pickle.html#pickle.loads), если это допустимый pickle, иначе само значение. Он переопределяет `value_encode()` так, чтобы он возвращал [`pickle.dumps()`](https://python-all.ru/2.7/library/pickle.html#pickle.dumps), если это не строка, в противном случае возвращает само значение.

Устарело с версии 2.3: Те же предупреждения безопасности, что и в [`SerialCookie`](https://python-all.ru/2.7/library/cookie.html#Cookie.SerialCookie), применимы и здесь.

Стоит сделать ещё одно замечание по безопасности. Для обратной совместимости модуль [`Cookie`](https://python-all.ru/2.7/library/cookie.html#module-Cookie) экспортирует класс с именем `Cookie`, который является просто псевдонимом для [`SmartCookie`](https://python-all.ru/2.7/library/cookie.html#Cookie.SmartCookie). Вероятно, это ошибка, и он будет удалён в одной из будущих версий. Не следует использовать класс `Cookie` в своих приложениях по той же причине, по которой не следует использовать класс [`SerialCookie`](https://python-all.ru/2.7/library/cookie.html#Cookie.SerialCookie).

> **См. также**
>
> **Модуль [`cookielib`](https://python-all.ru/2.7/library/cookielib.html#module-cookielib)**
>
> Обработка HTTP-куки для веб-*клиентов*. Модули [`cookielib`](https://python-all.ru/2.7/library/cookielib.html#module-cookielib) и [`Cookie`](https://python-all.ru/2.7/library/cookie.html#module-Cookie) не зависят друг от друга.
>
> **[**RFC 2109**](https://python-all.ru/2.7/library/cookie.html) – Механизм управления состоянием HTTP**
>
> Это спецификация управления состоянием, реализованная этим модулем.

## 20.22.1. Объекты Cookie

#### `BaseCookie.value_decode(val)`

Возвращает декодированное значение из строкового представления. Возвращаемое значение может быть любого tипа. Этот метод ничего не делает в [`BaseCookie`](https://python-all.ru/2.7/library/cookie.html#Cookie.BaseCookie) – он существует, чтобы его можно было переопределить.

#### `BaseCookie.value_encode(val)`

Возвращает закодированное значение. *val* может быть любого типа, но возвращаемое значение должно быть строкой. Этот метод ничего не делает в [`BaseCookie`](https://python-all.ru/2.7/library/cookie.html#Cookie.BaseCookie) – он существует, чтобы его можно было переопределить.

В общем случае должно выполняться условие, что [`value_encode()`](https://python-all.ru/2.7/library/cookie.html#Cookie.BaseCookie.value_encode) и [`value_decode()`](https://python-all.ru/2.7/library/cookie.html#Cookie.BaseCookie.value_decode) являются взаимно обратными на области значений *value\_decode*.

#### `BaseCookie.output([attrs[, header[, sep]]])`

Возвращает строковое представление, пригодное для отправки в качестве HTTP-заголовков. *attrs* и *header* передаются каждому методу [`output()`](https://python-all.ru/2.7/library/cookie.html#Cookie.BaseCookie.output) объекта [`Morsel`](https://python-all.ru/2.7/library/cookie.html#Cookie.Morsel). *sep* используется для объединения заголовков, и по умолчанию имеет значение `'\r\n'` (CRLF).

Изменено в версии 2.5: Разделитель по умолчанию изменён с `'\n'` в соответствии со спецификацией cookie.

#### `BaseCookie.js_output([attrs])`

Возвращает встраиваемый фрагмент JavaScript, который при выполнении в браузере, поддерживающем JavaScript, будет действовать так же, как если бы были отправлены HTTP-заголовки.

Значение *attrs* такое же, как в [`output()`](https://python-all.ru/2.7/library/cookie.html#Cookie.BaseCookie.output).

#### `BaseCookie.load(rawdata)`

Если *rawdata* является строкой, разобрать её как `HTTP_COOKIE` и добавить найденные значения как объекты [`Morsel`](https://python-all.ru/2.7/library/cookie.html#Cookie.Morsel). Если это словарь, это эквивалентно:

```python
for k, v in rawdata.items():
    cookie[k] = v
```

## 20.22.2. Объекты Morsel

#### `class Cookie.Morsel`

Абстрагирует пару ключ/значение с атрибутами [**RFC 2109**](https://python-all.ru/2.7/library/cookie.html).

Объекты Morsel похожи на словари, и их набор ключей постоянен: это допустимые атрибуты [**RFC 2109**](https://python-all.ru/2.7/library/cookie.html), которые

- `expires`
- `path`
- `comment`
- `domain`
- `max-age`
- `secure`
- `version`
- `httponly`

Атрибут `httponly` указывает, что cookie передаётся только в HTTP-запросах и недоступен через JavaScript. Это предназначено для снижения риска некоторых форм межсайтового скриптинга.

Ключи нечувствительны к регистру.

Новое в версии 2.6: Был добавлен атрибут `httponly`.

#### `Morsel.value`

Значение cookie.

#### `Morsel.coded_value`

Закодированное значение cookie – именно его следует отправлять.

#### `Morsel.key`

Имя cookie.

#### `Morsel.set(key, value, coded_value)`

Устанавливает атрибуты *key*, *value* и *coded\_value*.

#### `Morsel.isReservedKey(K)`

Проверяет, входит ли *K* в набор ключей [`Morsel`](https://python-all.ru/2.7/library/cookie.html#Cookie.Morsel).

#### `Morsel.output([attrs[, header]])`

Возвращает строковое представление Morsel, пригодное для отправки в качестве HTTP-заголовка. По умолчанию включаются все атрибуты, если не указан *attrs* – в этом случае это должен быть список используемых атрибутов. *header* по умолчанию равен `"Set-Cookie:"`.

#### `Morsel.js_output([attrs])`

Возвращает встраиваемый фрагмент JavaScript, который при выполнении в браузере, поддерживающем JavaScript, будет действовать так же, как если бы был отправлен HTTP-заголовок.

Значение *attrs* такое же, как в [`output()`](https://python-all.ru/2.7/library/cookie.html#Cookie.Morsel.output).

#### `Morsel.OutputString([attrs])`

Возвращает строку, представляющую Morsel, без какого-либо окружающего HTTP или JavaScript.

Значение *attrs* такое же, как в [`output()`](https://python-all.ru/2.7/library/cookie.html#Cookie.Morsel.output).

## 20.22.3. Пример

Следующий пример демонстрирует, как использовать модуль [`Cookie`](https://python-all.ru/2.7/library/cookie.html#module-Cookie).

```pycon
>>> import Cookie
>>> C = Cookie.SimpleCookie()
>>> C["fig"] = "newton"
>>> C["sugar"] = "wafer"
>>> print C # сгенерировать HTTP-заголовки
Set-Cookie: fig=newton
Set-Cookie: sugar=wafer
>>> print C.output() # то же самое
Set-Cookie: fig=newton
Set-Cookie: sugar=wafer
>>> C = Cookie.SimpleCookie()
>>> C["rocky"] = "road"
>>> C["rocky"]["path"] = "/cookie"
>>> print C.output(header="Cookie:")
Cookie: rocky=road; Path=/cookie
>>> print C.output(attrs=[], header="Cookie:")
Cookie: rocky=road
>>> C = Cookie.SimpleCookie()
>>> C.load("chips=ahoy; vienna=finger") # загрузить из строки (HTTP-заголовок)
>>> print C
Set-Cookie: chips=ahoy
Set-Cookie: vienna=finger
>>> C = Cookie.SimpleCookie()
>>> C.load('keebler="E=everybody; L=\\"Loves\\"; fudge=\\012;";')
>>> print C
Set-Cookie: keebler="E=everybody; L=\"Loves\"; fudge=\012;"
>>> C = Cookie.SimpleCookie()
>>> C["oreo"] = "doublestuff"
>>> C["oreo"]["path"] = "/"
>>> print C
Set-Cookie: oreo=doublestuff; Path=/
>>> C["twix"] = "none for you"
>>> C["twix"].value
'none for you'
>>> C = Cookie.SimpleCookie()
>>> C["number"] = 7 # эквивалентно C["number"] = str(7)
>>> C["string"] = "seven"
>>> C["number"].value
'7'
>>> C["string"].value
'seven'
>>> print C
Set-Cookie: number=7
Set-Cookie: string=seven
>>> # SerialCookie и SmartCookie устарели
>>> # его использование может привести к появлению уязвимостей безопасности в вашем коде.
>>> C = Cookie.SerialCookie()
>>> C["number"] = 7
>>> C["string"] = "seven"
>>> C["number"].value
7
>>> C["string"].value
'seven'
>>> print C
Set-Cookie: number="I7\012."
Set-Cookie: string="S'seven'\012p1\012."
>>> C = Cookie.SmartCookie()
>>> C["number"] = 7
>>> C["string"] = "seven"
>>> C["number"].value
7
>>> C["string"].value
'seven'
>>> print C
Set-Cookie: number="I7\012."
Set-Cookie: string=seven
```
