Cooke请求头对应Cookie字段、响应头对应Set-Cookie字段
建议安全设置的cookie值如下
Set-Cookie:<key>=<value>; Expires=<expriesDate> [;domain=domain][ ;path=path] ;Secure; HttpOnly; SameSite=strict
- value:一般是键值对
- expires:表示会在xxx时间之后失效(浏览器不会再发送给服务器),对于失效cookie浏览器会清空(也不是显式删除,是别的cookie覆盖此cookie,从而实现旧cookie删除)
- domain:默认是主机名,只有对相同的主机名发出请求时发出此cookie
- path:若path=/admin,则页面/admin和/admin/sth是可以访问的(当前及子域),而/home、/adminpage是不能访问的;通常设置为path=/,让网站的所有页面均可以访问。若不设置,默认是 /项目名称/当前路径的上一层地址
在Set-Cookie中添加如下三个值,提高安全性:
Secure:表示只通过HTTPS传递cookies,可用于防御中间人攻-击
HttpOnly:cookie设置该标签后,将不能通过JavaScript访问到,xss攻-击将不能直接读取到cookie
SameSite:用于防御CSRF攻-击,设置该属性后,cookie不能发送到不同网站