<div class="gmail_quote">On Tue, Feb 23, 2010 at 9:21 PM, Adam Barth <span dir="ltr"><<a href="mailto:w3c@adambarth.com">w3c@adambarth.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div><div></div><div class="h5">On Tue, Feb 23, 2010 at 9:15 PM, Jonas Sicking <jonas@sicking.cc> wrote:<br>
> On Tue, Feb 23, 2010 at 8:56 PM, Adam Barth <<a href="mailto:w3c@adambarth.com">w3c@adambarth.com</a>> wrote:<br>
>> The document.cookie API is kind of terrible.  Web developers shouldn't<br>
>> have to parse a cookie-string or prepare a properly formated<br>
>> set-cookie-string.  Here's a proposal for an HTML cookie API that<br>
>> isn't as terrible:<br>
>><br>
>> <a href="https://docs.google.com/Doc?docid=0AZpchfQ5mBrEZGQ0cDh3YzRfMTRmdHFma21kMg&hl=en" target="_blank">https://docs.google.com/Doc?docid=0AZpchfQ5mBrEZGQ0cDh3YzRfMTRmdHFma21kMg&hl=en</a><br>
>><br>
>> I'd like to propose we include this API in a future version of HTML.<br>
>> As always, feedback welcome.<br>
><br>
> I really think the API should be asynchronous, as to avoid the mess<br>
> that .localStorage currently is.<br>
<br>
</div></div>Done.<br></blockquote><div><br></div>The "array-like object containing the Cookies for the document" should be a read-only copy of a set of objects that represent all the applicable cookies at some point between the request and the response.  This needs to be really clear and it needs to be clear what happens if a user, say, calls setCookie() in the middle of iterating through the array-like object (imho the iteration should be unaffected).</div>
<div class="gmail_quote"><br></div><div class="gmail_quote">It's probably best to specify the ordering of Cookies in this array-like object to match rfc2965's ordering rules so that users of the API don't have to implement this ordering themselves.</div>
<div class="gmail_quote"><br></div><div class="gmail_quote">Accessing cookies from script is inherently racy - there is no way to promise that the browser will or will not return a cookie being set by some HTTP response arriving "at the same time" as the getCookies() call.  There's nothing really you can do about this but I think that this fact should be highlighted in the spec.</div>
<div class="gmail_quote"><br></div><div class="gmail_quote">If a U-A's privacy settings disallow script from accessing cookies, there should be some clear behavior.  It looks like a U-A could make setCookie() a no-op and always invoke the getCookies() callback with an empty list now - should that be specified?</div>
<div class="gmail_quote"><br></div><div class="gmail_quote">- James</div><div class="gmail_quote"><br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

<font color="#888888"><br>
Adam<br>
</font></blockquote></div><br>