Secure Cookie Implementation

安全的 Cookie 实现

风险: 安全

描述

当 Cookie 具有适当的安全属性（例如 Secure 和 HttpOnly）时，即被认为是安全的。

• Secure 标志确保 Cookie 仅通过 HTTPS 发送，保护其免受在未加密通道上传输的风险。
• HttpOnly 标志通过使 JavaScript 无法访问 Cookie，来缓解跨站脚本（XSS）攻击的风险。

• SameSite 属性控制 Cookie 是否随跨站请求一起发送，有助于防止跨站请求伪造（CSRF）。此属性可以设置为：

• Strict：Cookie 不会随跨站请求一起发送。

• Lax：Cookie 随顶级导航一起发送，但不随嵌入的资源一起发送。

• None：Cookie 随所有请求一起发送，但如果值为 None，则需要设置 Secure 标志。

• Expires 或 Max-Age 属性定义 Cookie 的生命周期，确保其存在时间不会超过预期。

• Domain 和 Path 属性根据域和 URL 路径限制 Cookie 的发送位置，从而允许限制在特定子域或路径内的 Cookie 共享。

以下是安全 Cookie 配置的示例：

http request Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT; Secure; HttpOnly

建议

该实现是安全的，没有适用的建议。

链接

• Secure 标志 (OWASP)
• HttpOnly 标志 (OWASP)