核心价值`__Secure-` 要求 `Secure`,提升传输安全;`__Host-` 进一步要求 `Path=/` 且无 `Domain`,避免子域滥用。以命名约定促使正确属性组合,降低配置错误概率。设置示例(Next.js Route Handler)export const runtime = 'edge' export async function GET() { const sid = crypto.randomUUID() return new Response('ok', { headers: { // __Secure- Cookie:必须 Secure 'Set-Cookie': `__Secure-sid=${sid}; Path=/; Secure; HttpOnly; SameSite=Lax`, }, }) } export const runtime = 'edge' export async function POST() { const cfg = 'v1' return new Response('ok', { headers: { // __Host- Cookie:必须 Secure、Path=/,且不能包含 Domain 'Set-Cookie': `__Host-config=${cfg}; Path=/; Secure; SameSite=Lax`, }, }) } 治理建议会话类 Cookie优先 `HttpOnly` 与 `SameSite`;跨子域场景避免滥用 `Domain`。保持最小化信息与短有效期;配合 CSRF 防护与 CSP。结论采用 `__Secure-` 与 `__Host-` 前缀是强化 Cookie 安全属性的简单有效手段,结合属性治理可显著降低跨站与误配置风险。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复