应使用响应对象的withcookie()方法设置cookie,如response('hello')->withcookie(cookie('user_role', 'admin', 60));读取须用cookie::get()或request()->cookie(),禁用$_cookie。
在 Laravel 中,不推荐直接用 $_COOKIE 或原生 setcookie() 操作 Cookie;应统一使用框架提供的 Cookie 门面或响应实例,否则会丢失加密、有效期、HttpOnly 等关键安全控制。
如何通过响应对象设置 Cookie(最常用)
绝大多数场景下,你是在控制器中返回响应时附带 Cookie。Laravel 默认对 Cookie 值自动加密,且默认启用 HttpOnly 和 Secure(仅 HTTPS)保护。
- 使用
withCookie()添加 Cookie 到响应:有效期单位是「分钟」,不是秒 - 若需自定义路径、域名、SameSite 等,必须用
cookie()辅助函数构造Cookie实例 - 注意:调用
withCookie()后必须返回该响应,否则 Cookie 不会发送到客户端
use Illuminate\Http\Response;
return response('Hello')->withCookie(cookie('user_role', 'admin', 60)); // 60 分钟
等价写法(显式构造):
use Illuminate\Cookie\CookieJar;
$cookie = CookieJar::make('theme', 'dark', 1440);
return response('OK')->withCookie($cookie);
如何在中间件或非响应上下文中设置 Cookie
如果你不在控制器里返回响应(比如在中间件中想追加 Cookie),不能直接用 withCookie()。此时需手动修改响应对象的 headers:
- 先创建
Cookie实例,再用response()->withCookie()包装已有响应 - 或者在中间件中使用
$response->withCookie(...)并返回新响应 - 错误做法:
cookie()->queue(...)在 Laravel 9+ 已弃用,不要用
// ✅ 正确:在中间件中修改响应
public function handle($request, Closure $next)
{
$response = $next($request);
return $response->withCookie(cookie('last_access', now()->toDateTimeString(), 10));
}
如何安全地读取 Cookie 值
Laravel 默认只解密并返回已签名/加密的 Cookie,防止客户端篡改。因此不能用 $_COOKIE['xxx'] 直接读取——它拿不到原始值,且绕过验证。
- 用
Cookie::get('key')或request()->cookie('key'),二者等效 - 如果 Cookie 是用
cookie()->forever()设置的,仍可用Cookie::get()读取 - 读取不存在的键会返回
null,不会报错;如需默认值,传第二个参数:Cookie::get('lang', 'zh') - 注意:若 Cookie 是用
queue()(旧版)或未加密方式设置的,Cookie::get()将无法读取
// 在控制器中
$userRole = Cookie::get('user_role'); // 自动解密 + 验证签名
$theme = request()->cookie('theme', 'light');
常见陷阱与兼容性提醒
几个容易踩坑的地方:
-
cookie('name', $value, $minutes)的$minutes参数为 0 表示「浏览器会话结束时过期」,不是永久;永久请用cookie()->forever() - Laravel 8+ 默认开启
SameSite=Lax,若需跨站请求携带 Cookie(如嵌入 iframe 的后台接口),得显式设为None并启用Secure:cookie('token', $val, 60, null, null, true, true, false, 'None') - Cookie 名称含空格、点号或特殊字符会导致解析失败;建议只用字母、数字、下划线和短横线
-
前端 JavaScript 无法读取
HttpOnlyCookie(这是好事),别指望document.cookie能拿到Cookie::get()里的值
真正麻烦的不是怎么设,而是忘了 Cookie 本质是 HTTP header 的一部分——它必须在响应发出前完成构造,且所有加密/签名逻辑都依赖 APP_KEY。换密钥后旧 Cookie 全部失效,这点常被忽略。
