Cookie 策略:SameSite/Secure/HttpOnly 的现代默认
总结现代浏览器的 Cookie 默认与推荐策略,阐明 SameSite/Lax 的跨站行为、Secure 与 HttpOnly 的安全作用,并给出兼容性与迁移建议。
ookie
"Cookie 与会话安全:SameSite/HttpOnly/Secure 配置指南"
"总结 Cookie 安全配置的最佳实践,解释 SameSite/HttpOnly/Secure 的作用与取舍,并给出与 CSRF 防护的协同策略与可验证来源。"
Cookie 分区化(CHIPS):第三方 Cookie 的安全替代
解释 Cookie 分区化(CHIPS)的原理与 `Partitioned` 属性的使用,帮助在第三方 Cookie 受限的环境下维持必要的嵌入场景能力并降低跨站跟踪。
"Cookie 前缀 __Host- 与 __Secure-:约束与最佳实践"
"说明 __Host-/__Secure- 前缀的语义与约束、示例与部署建议,提升 Cookie 的安全性与隔离性,避免跨站与子域滥用。"
"Cookie 前缀实践:__Host- 与 __Secure- 的使用与约束"
"解释 Cookie 前缀的安全约束与用途,给出在会话标识与跨子域隔离中的实践建议,并说明与 Secure/SameSite 的协作。"
Cookie 前缀:__Host- 与 __Secure- 安全约束
使用 `__Host-` 与 `__Secure-` 前缀为 Cookie 施加额外约束,提升路径与协议安全性,降低被降级或跨子域覆盖的风险。
Cookie安全前缀治理(__Host/__Secure)最佳实践
通过统一使用__Host与__Secure安全前缀Cookie并校验属性,提升会话与敏感标识的安全基线,防止路径与子域滥用。
CSRF防护与双重提交Cookie-Origin-Token协同最佳实践
通过SameSite属性、Origin/Referer校验与双重提交Cookie+令牌组合,构建可验证的CSRF防护方案,附令牌签发与校验中间件及验收清单。
CORS 与 Cookie 策略(SameSite、Secure、HttpOnly、跨域预检)
系统梳理 CORS 响应头与 Cookie 策略,明确 SameSite/Secure/HttpOnly 的要求与跨域预检流程,并提供验证方法与注意事项。
Cookie Store API:Service Worker Cookie 读写与订阅
通过 Cookie Store 在主线程与 Service Worker 中读写并订阅变更事件,改善对会话与权限状态的管理,含安全与兼容建议。
