背景与价值安全前缀可强制Cookie属性与作用域。统一治理能降低路径与子域滥用带来的风险。统一规范__Host:必须 `Secure; Path=/; Domain` 不允许;适用于主域全站会话。__Secure:必须 `Secure`,其他属性按需设置。统一 `HttpOnly` 与 `SameSite`(默认 `Lax` 或按场景 `None`)。核心实现设置与校验type Res = { setHeader: (k: string, v: string) => void } function setHostCookie(res: Res, name: string, value: string, sameSite: 'Lax'|'Strict'|'None' = 'Lax', ttlSec = 1800) { const enc = encodeURIComponent(value) const attrs = [`__Host-${name}=${enc}`, 'Path=/', 'Secure', 'HttpOnly', `SameSite=${sameSite}`, `Max-Age=${ttlSec}`] res.setHeader('Set-Cookie', attrs.join('; ')) } function setSecureCookie(res: Res, name: string, value: string, sameSite: 'Lax'|'Strict'|'None' = 'Lax', ttlSec = 1800) { const enc = encodeURIComponent(value) const attrs = [`__Secure-${name}=${enc}`, 'Secure', 'HttpOnly', `SameSite=${sameSite}`, `Max-Age=${ttlSec}`] res.setHeader('Set-Cookie', attrs.join('; ')) } 落地建议会话与敏感标识统一使用 `__Host-` 前缀并设置 `Path=/`、不含 `Domain`。对跨站嵌入场景使用 `SameSite=None; Secure` 严格属性。验证清单前缀与属性是否满足规范;是否避免设置 `Domain` 与路径缩小。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复