"Cookie 前缀实践：__Host- 与 __Secure- 的使用与约束"

概述Cookie 前缀为纵深防御提供断言：浏览器仅在满足特定约束时接受带前缀的 Set-Cookie。`__Host-` 更严格，用于主域锁定；`__Secure-` 要求安全来源与 Secure 标志。合理使用可降低会话固定与跨域污染风险。约束与行为`__Secure-`：必须在 HTTPS 上设置，且带 `Secure` 标志［参考1,4］。`__Host-`：必须在 HTTPS 上设置，带 `Secure`，`Path=/`，且不得包含 `Domain` 属性（主域锁定，不发送至子域）［参考1,2,4］。仅在使用 `Secure` 时浏览器才接受含这两个前缀的 Cookie 名称［参考1,2,4,5］。实践建议会话标识：推荐 `__Host-SESSIONID` 以锁定主域并覆盖所有路径；避免子域设置会话导致固定或污染［参考2,3］。前缀与 `SameSite`：结合 `SameSite=Strict/Lax` 与 `HttpOnly/Secure`；第三方场景采用 CHIPS（Partitioned）或替代方案，避免跨站跟踪。迁移：统一在主域设置前缀 Cookie，并删除历史存在 `Domain` 的旧会话 Cookie；在登出时结合 `Clear-Site-Data` 清理剩余状态。参考与验证［参考1］MDN 中文：`Set-Cookie` 头与前缀约束说明（`__Host-`/`__Secure-`）：https://developer.mozilla.org/zh-CN/docs/web/http/headers/set-cookie［参考2］MDN：HTTP Cookies 使用与前缀行为说明（主域锁定与 Secure 要求）：https://mdn.org.cn/en-US/docs/Web/HTTP/Cookies［参考3］MDN 安全实践：安全 Cookie 配置（前缀与会话固定防护）：https://mdn.org.cn/en-US/docs/Web/Security/Practical_implementation_guides/Cookies［参考4］MDN 英文：`Set-Cookie` 文档与前缀说明：https://mdn.org.cn/en-US/docs/Web/HTTP/Headers/Set-Cookie［参考5］MDN 中文教程：HTTP Cookies 概念与前缀补充说明：https://s0developer0mozilla0org.icopy.site/en-US/docs/Web/HTTP/Cookies关键词校验关键词与前缀安全约束一致。