核心价值`__Secure-` 要求 `Secure`,提升传输安全;`__Host-` 进一步要求 `Path=/` 且无 `Domain`,避免子域滥用。以命名约定促使正确属性组合,降低配置错误概率。设置示例(Next.js Route Handler)export const runtime = 'edge'
export async function GET() {
const sid = crypto.randomUUID()
return new Response('ok', {
headers: {
// __Secure- Cookie:必须 Secure
'Set-Cookie': `__Secure-sid=${sid}; Path=/; Secure; HttpOnly; SameSite=Lax`,
},
})
}
export const runtime = 'edge'
export async function POST() {
const cfg = 'v1'
return new Response('ok', {
headers: {
// __Host- Cookie:必须 Secure、Path=/,且不能包含 Domain
'Set-Cookie': `__Host-config=${cfg}; Path=/; Secure; SameSite=Lax`,
},
})
}
治理建议会话类 Cookie优先 `HttpOnly` 与 `SameSite`;跨子域场景避免滥用 `Domain`。保持最小化信息与短有效期;配合 CSRF 防护与 CSP。结论采用 `__Secure-` 与 `__Host-` 前缀是强化 Cookie 安全属性的简单有效手段,结合属性治理可显著降低跨站与误配置风险。
发表评论 取消回复