Cooke请求头对应Cookie字段、响应头对应Set-Cookie字段

建议安全设置的cookie值如下

Set-Cookie:<key>=<value>; Expires=<expriesDate> [;domain=domain][ ;path=path] ;Secure; HttpOnly; SameSite=strict

• value：一般是键值对
• expires：表示会在xxx时间之后失效（浏览器不会再发送给服务器），对于失效cookie浏览器会清空（也不是显式删除，是别的cookie覆盖此cookie，从而实现旧cookie删除）
• domain：默认是主机名，只有对相同的主机名发出请求时发出此cookie
• path：若path=/admin，则页面/admin和/admin/sth是可以访问的（当前及子域），而/home、/adminpage是不能访问的；通常设置为path=/，让网站的所有页面均可以访问。若不设置,默认是 /项目名称/当前路径的上一层地址

在Set-Cookie中添加如下三个值，提高安全性：

Secure：表示只通过HTTPS传递cookies，可用于防御中间人攻-击

HttpOnly：cookie设置该标签后，将不能通过JavaScript访问到，xss攻-击将不能直接读取到cookie

SameSite：用于防御CSRF攻-击，设置该属性后，cookie不能发送到不同网站