js-cookie、react-cookie、universal-cookie、およびuniversal-cookie-expressは、JavaScript環境でHTTPクッキーを扱うためのnpmパッケージです。これらのライブラリは、ブラウザやNode.jsサーバー上でクッキーの読み書き・削除を行う共通の目的を持ちながら、対応する実行環境や統合方法に違いがあります。js-cookieは純粋なクライアントサイド向け軽量ライブラリであり、react-cookieはReactコンポーネントとの統合に特化しています。一方、universal-cookieはブラウザとNode.jsの両方で動作するユニバーサルなAPIを提供し、universal-cookie-expressはそのExpress.js用ミドルウェア拡張として設計されています。
クッキー操作ライブラリ徹底比較:js-cookie、react-cookie、universal-cookie、universal-cookie-express
Webアプリケーションで認証トークンやユーザー設定などを保存する際、HTTPクッキーは依然として重要なストレージ手段です。しかし、ブラウザとサーバーでクッキーを一貫して扱うのは意外と難しいものです。ここでは、代表的な4つのnpmパッケージ — js-cookie、react-cookie、universal-cookie、universal-cookie-express — の技術的違いを、実際のコードを交えながら詳しく解説します。
🍪 基本的なクッキー操作:書き込み・読み取り・削除
まず、各ライブラリで基本的なクッキー操作がどのように行われるかを見てみましょう。
js-cookie(クライアントサイド専用)
import Cookies from 'js-cookie';
// 書き込み
Cookies.set('user', 'john', { expires: 7 });
// 読み取り
const user = Cookies.get('user');
// 削除
Cookies.remove('user');
js-cookieはシンプルで直感的です。すべての操作が静的メソッド経由で行われ、追加のセットアップは不要です。
react-cookie(React統合)
import { useCookies } from 'react-cookie';
function MyComponent() {
const [cookies, setCookie, removeCookie] = useCookies(['user']);
// 書き込み
setCookie('user', 'john', { path: '/' });
// 読み取り(現在の値はcookies.user)
console.log(cookies.user);
// 削除
removeCookie('user');
return <div>{cookies.user}</div>;
}
react-cookieはReactの状態管理と連動しており、クッキーが変更されると自動的に再レンダリングされます。
universal-cookie(ユニバーサル対応)
// クライアントサイドまたはNode.jsで同じコードが動作
import Cookies from 'universal-cookie';
const cookies = new Cookies();
// 書き込み
cookies.set('user', 'john', { path: '/' });
// 読み取り
const user = cookies.get('user');
// 削除
cookies.remove('user');
universal-cookieはインスタンスベースで、環境に応じて内部でdocument.cookieまたはreq.headers.cookie/res.setHeaderを使い分けます。
universal-cookie-express(Express用ミドルウェア)
// Expressサーバー側での使用例
import { Cookies } from 'universal-cookie';
import cookieMiddleware from 'universal-cookie-express';
app.use(cookieMiddleware());
app.get('/login', (req, res) => {
const cookies = new Cookies(req.headers.cookie, res);
cookies.set('auth-token', 'abc123', { httpOnly: true });
// ミドルウェアにより、レスポンス時に自動的にSet-Cookieヘッダーが設定される
res.send('Logged in');
});
このパッケージ自体は操作メソッドを提供せず、universal-cookieインスタンスが持つクッキーをExpressのレスポンスに適用する役割を果たします。
🌐 環境対応:ブラウザ vs サーバー
クライアントサイド専用 vs ユニバーサル
-
js-cookie:ブラウザのdocument.cookieに直接アクセスするため、Node.js環境では動作しません。Next.jsなどのSSRフレームワークで使うと、サーバーサイドレンダリング中にエラーが発生します。 -
react-cookie:内部でuniversal-cookieを使用しているため、理論上はサーバーでも動作可能ですが、主にReactコンポーネント内での使用を想定しています。SSR時の初期化には特別な処理が必要です。 -
universal-cookie:コンストラクタにreqとresを渡すことでNode.js環境でも動作します。例えばNext.jsのAPIルートでは以下のように使用できます。
// Next.js APIルート (/pages/api/login.js)
import { Cookies } from 'universal-cookie';
export default function handler(req, res) {
const cookies = new Cookies(req.headers.cookie, res);
cookies.set('token', 'xyz', { httpOnly: true });
res.status(200).json({ success: true });
}
universal-cookie-express:Express.js専用のミドルウェアであり、他の環境では使用できません。
⚙️ React統合の深さ
react-cookieはReactのライフサイクルと密接に連携します。
// クッキー変更時に自動再レンダリング
function UserProfile() {
const [cookies] = useCookies(['theme']);
// cookies.themeが変更されると、このコンポーネントは再レンダリングされる
return (
<div className={cookies.theme || 'light'}>
ユーザープロフィール
</div>
);
}
一方、js-cookieやuniversal-cookieをReactで使う場合、手動でuseStateやuseEffectを使って状態を同期する必要があります。
// js-cookieをReactで使う場合(手動同期が必要)
import { useState, useEffect } from 'react';
import Cookies from 'js-cookie';
function UserProfile() {
const [theme, setTheme] = useState(Cookies.get('theme') || 'light');
useEffect(() => {
// 外部からクッキーが変更された場合の監視は自前実装が必要
const handleStorageChange = () => {
setTheme(Cookies.get('theme') || 'light');
};
window.addEventListener('storage', handleStorageChange);
return () => window.removeEventListener('storage', handleStorageChange);
}, []);
return <div className={theme}>ユーザープロフィール</div>;
}
このように、Reactアプリでクッキーを「リアクティブな状態」として扱いたいならreact-cookieが便利ですが、単発の読み書きだけならjs-cookieで十分です。
🔒 セキュリティオプションのサポート
すべてのライブラリが、httpOnly、secure、sameSiteなどのセキュリティ属性をサポートしていますが、設定方法に若干の違いがあります。
// js-cookie
Cookies.set('token', 'abc', {
httpOnly: false, // js-cookieではhttpOnlyをfalseに固定(ブラウザ制限のため)
secure: true,
sameSite: 'strict'
});
// universal-cookie(Node.js環境)
cookies.set('token', 'abc', {
httpOnly: true, // サーバー側ではtrueにできる
secure: true,
sameSite: 'strict'
});
重要な点として、js-cookieはクライアントサイドライブラリのため、httpOnly: trueのクッキーを設定も読み取りもできません。これはブラウザの仕様による制限です。httpOnlyクッキーが必要な場合は、必ずサーバー側(universal-cookie + universal-cookie-expressなど)で設定する必要があります。
🧩 アーキテクチャ上のトレードオフ
軽量さ vs 汎用性
js-cookie:バンドルサイズが非常に小さい(約1KB)。シンプルなフロントエンドアプリに最適。react-cookie:ReactのContextとHooksのオーバーヘッドがあるため、js-cookieより重い。React専用機能が必要なければ無駄になる可能性あり。universal-cookie:環境判定のロジックがあるため、js-cookieより若干大きいが、SSRやフルスタック対応が必要なら必須。universal-cookie-express:Expressサーバーとの連携に特化した補助パッケージ。単独では意味がない。
初期化と状態管理
js-cookieとuniversal-cookie(静的使用時)はグローバル状態を持ちません。react-cookieは内部でReact Contextを使用するため、アプリケーション全体で1つのクッキー状態を共有します。universal-cookieのインスタンスは明示的に作成する必要があり、複数のインスタンスを独立して管理できます(例:異なるドメイン用のクッキー)。
🛑 非推奨・メンテナンス状況について
執筆時点(2024年)で、これら4つのパッケージはいずれも非推奨(deprecated)ではなく、積極的にメンテナンスされています。GitHubリポジトリやnpmページに非推奨の警告は存在しません。
📊 まとめ:どのライブラリを選ぶべきか?
| ユースケース | 推奨パッケージ | 理由 |
|---|---|---|
| 純粋なフロントエンド(React以外) | js-cookie | 軽量でシンプル、余計な機能なし |
| Reactアプリでクッキーを状態として扱いたい | react-cookie | 自動再レンダリング、React Hooksとの親和性 |
| Next.js/Nuxt.jsなどSSR対応が必要 | universal-cookie | ブラウザ/サーバー両対応、一貫したAPI |
| Expressサーバーと連携したフルスタックアプリ | universal-cookie + universal-cookie-express | サーバー側でのhttpOnlyクッキー設定が可能 |
💡 最終的なアドバイス
- シンプルなフロントエンドだけ →
js-cookie - Reactでクッキーをリアクティブに使いたい →
react-cookie - SSRやサーバー連携が必要 →
universal-cookie(Expressなら追加でuniversal-cookie-express)
クッキーはセキュリティに直結する要素です。特に認証トークンを保存する場合は、httpOnlyとsecure属性を忘れずに設定し、可能な限りサーバー側でクッキーを管理することを強く推奨します。その観点から、現代のフルスタックアプリケーションではuniversal-cookieが最もバランスの取れた選択肢と言えるでしょう。
- js-cookie:
js-cookieは、シンプルで軽量なクライアントサイド専用のクッキーライブラリが必要な場合に最適です。React以外のフレームワーク(Vue、Svelte、Vanilla JSなど)や、最小限の依存関係でクッキー操作を行いたいプロジェクトに向いています。ただし、サーバーサイドレンダリング(SSR)やNode.js環境での使用はサポートされていないため、Next.jsやNuxt.jsなどのハイブリッドフレームワークでは注意が必要です。 - universal-cookie:
universal-cookieは、同じコードベースでブラウザとNode.js(例:Next.js APIルートやExpressサーバー)の両方でクッキーを操作したい場合に最適です。環境に応じて自動的に動作を切り替えるユニバーサルAPIを提供するため、SSRやフルスタックアプリケーションでの一貫性のあるクッキー管理が可能です。ただし、クライアントサイドのみで使う場合はjs-cookieより若干オーバーヘッドがあります。 - react-cookie:
react-cookieは、Reactアプリケーション内でクッキーを状態として扱いたい場合に適しています。React Contextとカスタムフック(useCookies)を活用して、コンポーネントツリー全体でクッキーの変更を自動的に反映できます。ただし、このライブラリは内部でuniversal-cookieに依存しており、純粋なクライアントサイド用途であればjs-cookieの方が軽量です。React専用の統合機能が必要ない場合は過剰な選択となる可能性があります。 - universal-cookie-express:
universal-cookie-expressは、universal-cookieで生成されたクッキーをExpress.jsサーバーで処理するためのミドルウェアです。具体的には、レスポンス時にクッキーを自動的に設定する機能を提供します。このパッケージ単体では使用できず、必ずuniversal-cookieと併用する必要があります。Expressベースのバックエンドとフロントエンドでクッキーを共有するアーキテクチャを採用している場合にのみ検討してください。
JavaScript Cookie 
A simple, lightweight JavaScript API for handling cookies
- Works in all browsers
- Accepts any character
- Heavily tested
- No dependency
- Supports ES modules
- Supports AMD/CommonJS
- RFC 6265 compliant
- Useful Wiki
- Enable custom encoding/decoding
- < 800 bytes gzipped!
👉👉 If you're viewing this at https://github.com/js-cookie/js-cookie, you're reading the documentation for the main branch. View documentation for the latest release. 👈👈
Installation
NPM
JavaScript Cookie supports npm under the name js-cookie.
npm i js-cookie
The npm package has a module field pointing to an ES module variant of the library, mainly to provide support for ES module aware bundlers, whereas its browser field points to an UMD module for full backward compatibility.
Not all browsers support ES modules natively yet. For this reason the npm package/release provides both the ES and UMD module variant and you may want to include the ES module along with the UMD fallback to account for this:
CDN
Alternatively, include js-cookie via jsDelivr CDN.
Basic Usage
Create a cookie, valid across the entire site:
Cookies.set('name', 'value')
Create a cookie that expires 7 days from now, valid across the entire site:
Cookies.set('name', 'value', { expires: 7 })
Create an expiring cookie, valid to the path of the current page:
Cookies.set('name', 'value', { expires: 7, path: '' })
Read cookie:
Cookies.get('name') // => 'value'
Cookies.get('nothing') // => undefined
Read all visible cookies:
Cookies.get() // => { name: 'value' }
Note: It is not possible to read a particular cookie by passing one of the cookie attributes (which may or may not have been used when writing the cookie in question):
Cookies.get('foo', { domain: 'sub.example.com' }) // `domain` won't have any effect...!
The cookie with the name foo will only be available on .get() if it's visible from where the
code is called; the domain and/or path attribute will not have an effect when reading.
Delete cookie:
Cookies.remove('name')
Delete a cookie valid to the path of the current page:
Cookies.set('name', 'value', { path: '' })
Cookies.remove('name') // fail!
Cookies.remove('name', { path: '' }) // removed!
IMPORTANT! When deleting a cookie and you're not relying on the default attributes, you must pass the exact same path and domain attributes that were used to set the cookie:
Cookies.remove('name', { path: '', domain: '.yourdomain.com' })
Note: Removing a nonexistent cookie neither raises any exception nor returns any value.
Namespace conflicts
If there is any danger of a conflict with the namespace Cookies, the noConflict method will allow you to define a new namespace and preserve the original one. This is especially useful when running the script on third party sites e.g. as part of a widget or SDK.
// Assign the js-cookie api to a different variable and restore the original "window.Cookies"
var Cookies2 = Cookies.noConflict()
Cookies2.set('name', 'value')
Note: The .noConflict method is not necessary when using AMD or CommonJS, thus it is not exposed in those environments.
Encoding
This project is RFC 6265 compliant. All special characters that are not allowed in the cookie-name or cookie-value are encoded with each one's UTF-8 Hex equivalent using percent-encoding.
The only character in cookie-name or cookie-value that is allowed and still encoded is the percent % character, it is escaped in order to interpret percent input as literal.
Please note that the default encoding/decoding strategy is meant to be interoperable only between cookies that are read/written by js-cookie. To override the default encoding/decoding strategy you need to use a converter.
Note: According to RFC 6265, your cookies may get deleted if they are too big or there are too many cookies in the same domain, more details here.
Cookie Attributes
Cookie attribute defaults can be set globally by creating an instance of the api via withAttributes(), or individually for each call to Cookies.set(...) by passing a plain object as the last argument. Per-call attributes override the default attributes.
expires
Define when the cookie will be removed. Value must be a Number which will be interpreted as days from time of creation or a Date instance. If omitted, the cookie becomes a session cookie.
To create a cookie that expires in less than a day, you can check the FAQ on the Wiki.
Default: Cookie is removed when the user closes the browser.
Examples:
Cookies.set('name', 'value', { expires: 365 })
Cookies.get('name') // => 'value'
Cookies.remove('name')
path
A String indicating the path where the cookie is visible.
Default: /
Examples:
Cookies.set('name', 'value', { path: '' })
Cookies.get('name') // => 'value'
Cookies.remove('name', { path: '' })
Note regarding Internet Explorer:
Due to an obscure bug in the underlying WinINET InternetGetCookie implementation, IE’s document.cookie will not return a cookie if it was set with a path attribute containing a filename.
(From Internet Explorer Cookie Internals (FAQ))
This means one cannot set a path using window.location.pathname in case such pathname contains a filename like so: /check.html (or at least, such cookie cannot be read correctly).
In fact, you should never allow untrusted input to set the cookie attributes or you might be exposed to a XSS attack.
domain
A String indicating a valid domain where the cookie should be visible. The cookie will also be visible to all subdomains.
Default: Cookie is visible only to the domain or subdomain of the page where the cookie was created, except for Internet Explorer (see below).
Examples:
Assuming a cookie that is being created on site.com:
Cookies.set('name', 'value', { domain: 'subdomain.site.com' })
Cookies.get('name') // => undefined (need to read at 'subdomain.site.com')
Note regarding Internet Explorer default behavior:
Q3: If I don’t specify a DOMAIN attribute (for) a cookie, IE sends it to all nested subdomains anyway?
A: Yes, a cookie set on example.com will be sent to sub2.sub1.example.com.
Internet Explorer differs from other browsers in this regard.
(From Internet Explorer Cookie Internals (FAQ))
This means that if you omit the domain attribute, it will be visible for a subdomain in IE.
secure
Either true or false, indicating if the cookie transmission requires a secure protocol (https).
Default: No secure protocol requirement.
Examples:
Cookies.set('name', 'value', { secure: true })
Cookies.get('name') // => 'value'
Cookies.remove('name')
sameSite
A String, allowing to control whether the browser is sending a cookie along with cross-site requests.
Default: not set.
Note that more recent browsers are making "Lax" the default value even without specifiying anything here.
Examples:
Cookies.set('name', 'value', { sameSite: 'strict' })
Cookies.get('name') // => 'value'
Cookies.remove('name')
Setting up defaults
const api = Cookies.withAttributes({ path: '/', domain: '.example.com' })
Converters
Read
Create a new instance of the api that overrides the default decoding implementation. All get methods that rely in a proper decoding to work, such as Cookies.get() and Cookies.get('name'), will run the given converter for each cookie. The returned value will be used as the cookie value.
Example from reading one of the cookies that can only be decoded using the escape function:
document.cookie = 'escaped=%u5317'
document.cookie = 'default=%E5%8C%97'
var cookies = Cookies.withConverter({
read: function (value, name) {
if (name === 'escaped') {
return unescape(value)
}
// Fall back to default for all other cookies
return Cookies.converter.read(value, name)
}
})
cookies.get('escaped') // 北
cookies.get('default') // 北
cookies.get() // { escaped: '北', default: '北' }
Write
Create a new instance of the api that overrides the default encoding implementation:
Cookies.withConverter({
write: function (value, name) {
return value.toUpperCase()
}
})
TypeScript declarations
npm i @types/js-cookie
Server-side integration
Check out the Servers Docs
Contributing
Check out the Contributing Guidelines
Security
For vulnerability reports, send an e-mail to js-cookie at googlegroups dot com
Releasing
Releasing should be done via the Release GitHub Actions workflow, so that published packages on npmjs.com have package provenance.
GitHub releases are created as a draft and need to be published manually! (This is so we are able to craft suitable release notes before publishing.)
Supporters
Many thanks to BrowserStack for providing unlimited browser testing free of cost.
Authors
- Klaus Hartl
- Fagner Brack
- And awesome contributors