---

title: Cookie安全属性设计：HttpOnly、Secure与SameSite

keywords:

• Cookie
• HttpOnly
• Secure
• SameSite
• 域/路径

description: 从 Cookie 的属性与作用域设计入手，降低 XSS/CSRF 风险并明确域与路径边界。

categories:

• 应用软件
• 图形图像

---

Cookie安全属性设计：HttpOnly、Secure与SameSite

概览

合理的 Cookie 策略能显著降低前端安全风险。本文总结核心属性与域/路径设计原则。

技术参数（已验证）

• HttpOnly：禁止 JS 读取，降低 XSS 窃取风险。
• Secure：仅在 HTTPS 传输，防止明文泄露。
• SameSite：控制跨站携带行为，结合 CSRF 防护使用。
• 域/路径：缩小作用域，避免无关页面访问敏感 Cookie。

实战清单

• 会话与敏感标识启用 HttpOnly+Secure，并合理设置 SameSite。
• 精准设置域与路径，避免过宽的共享范围。