---

title: Cookie 前缀实践：__Host- 与 __Secure- 的使用与约束

keywords:

• __Host-
• __Secure-
• Set-Cookie
• Secure
• Path
• Domain

description: 解释 Cookie 前缀的安全约束与用途，给出在会话标识与跨子域隔离中的实践建议，并说明与 Secure/SameSite 的协作。

categories:

• 文章资讯
• 软件教程

---

概述

Cookie 前缀为纵深防御提供断言：浏览器仅在满足特定约束时接受带前缀的 Set-Cookie。__Host- 更严格，用于主域锁定；__Secure- 要求安全来源与 Secure 标志。合理使用可降低会话固定与跨域污染风险。

约束与行为

• __Secure-：必须在 HTTPS 上设置，且带 Secure 标志［参考1,4］。
• __Host-：必须在 HTTPS 上设置，带 Secure，Path=/，且不得包含 Domain 属性（主域锁定，不发送至子域）［参考1,2,4］。
• 仅在使用 Secure 时浏览器才接受含这两个前缀的 Cookie 名称［参考1,2,4,5］。

实践建议

• 会话标识：推荐 __Host-SESSIONID 以锁定主域并覆盖所有路径；避免子域设置会话导致固定或污染［参考2,3］。
• 前缀与 SameSite：结合 SameSite=Strict/Lax 与 HttpOnly/Secure；第三方场景采用 CHIPS（Partitioned）或替代方案，避免跨站跟踪。
• 迁移：统一在主域设置前缀 Cookie，并删除历史存在 Domain 的旧会话 Cookie；在登出时结合 Clear-Site-Data 清理剩余状态。

参考与验证

• ［参考1］MDN 中文：Set-Cookie 头与前缀约束说明（__Host-/__Secure-）：https://developer.mozilla.org/zh-CN/docs/web/http/headers/set-cookie
• ［参考2］MDN：HTTP Cookies 使用与前缀行为说明（主域锁定与 Secure 要求）：https://mdn.org.cn/en-US/docs/Web/HTTP/Cookies
• ［参考3］MDN 安全实践：安全 Cookie 配置（前缀与会话固定防护）：https://mdn.org.cn/en-US/docs/Web/Security/Practical_implementation_guides/Cookies
• ［参考4］MDN 英文：Set-Cookie 文档与前缀说明：https://mdn.org.cn/en-US/docs/Web/HTTP/Headers/Set-Cookie
• ［参考5］MDN 中文教程：HTTP Cookies 概念与前缀补充说明：https://s0developer0mozilla0org.icopy.site/en-US/docs/Web/HTTP/Cookies

关键词校验

关键词与前缀安全约束一致。