cookie是由服务器生成，发送给User-Agent（一般是浏览器），User-Agent将Cookie以K/V形式保存在某个文件内，下次请求同一资源时，就将次Cookie（相当于记录）发送给服务器。再简单的说，就是将用户记录由服务器生成，然后放在用户电脑上。服务器生成的cookie往往是一些空的或者默认K/V的cookie，有时候我们需要在此基础上进行cookie的扩展，发送给客户端之后，客户端也可以用javascript脚本语言读取或者改写cookie文件（因此js唯一能读写的文件是cookie），但这些修改的资料都会被传回给客户端解析。因此我们可以发现，cookie是一种不安全的隐私数据，对cookie和js或者一些黑客技术比较了解的，可以仿制cookie或者修改cookie进行一些cookie攻击。针对这个，实际上是有2个东西能够解决的，一个是session，一个是token。token是计算机令牌，能够对比每次信息的真伪和是否已经修改，session则和cookie对应，cookie是客户端的记录，而session是服务器端的记录，但两者其实都是由服务器生成，都可以有服务器来控制，但cookie是存储在客户端上。

@shinka cookie在各个浏览器上的实现和存储机制我不是很清除，但是有一点可以明确，就是不同web内核处理方式肯定是不一样的，如同服务端的token和session，不同语言做的服务器做的处理就不一样，我想cookie也是，但是大部分常用的应该是可以获取到的，可以去研究下cookie在不同浏览器内核下的解析方式和原理。cookie相当于存储在浏览器端的缓存，cookie有应用于他的场景和模型，任何一款web应用不存在用不用这么抽象的断定，而是要细分哪些适不适合，根据需求决定策略。