Cookie 前缀：Host- 与 Secure- 安全约束

4 阅读 0 评论 0 点赞

## 概述 `__Secure-` 要求设置在安全上下文且携带 `Secure`；`__Host-` 额外要求 `Path=/`、不含 `Domain` 并在安全上下文设定，避免子路径或子域覆盖。 ## 用法/示例 ```http Set-Cookie: __Secure-id=abc; Secure; SameSite=Lax; Path=/; Expires=Tue, 01 Jan 2030 00:00:00 GMT Set-Cookie: __Host-session=xyz; Secure; SameSite=Strict; Path=/; Expires=Tue, 01 Jan 2030 00:00:00 GMT ``` ## 工程建议 - 对会话与关键标识使用 `__Host-` 前缀并禁止 `Domain`；统一在根路径设置。 - 严格使用 `Secure` 与合理 `SameSite`；为跨站场景评估 `SameSite=None; Secure`。 - 审计遗留 Cookie 的路径与域配置，避免被更宽的 Cookie 覆盖。 ## 参考与验证 - MDN：Set-Cookie — https://developer.mozilla.org/docs/Web/HTTP/Headers/Set-Cookie - web.dev：Cookie prefixes — https://web.dev/articles/cookie-prefixes

点赞(0) 打赏

本文分类：网络技术
本文标签：无
浏览次数：4 次浏览
发布日期：2026-04-30 13:43:14
本文链接：https://www.ybb.press/network-tech/1633.html

上一篇 > Conda渠道与包哈希治理（channels-校验-白名单）最佳实践
下一篇 > Core Web Vitals 2024：INP 取代 FID 的优化清单

Cookie 前缀：Host- 与 Secure- 安全约束

评论列表共有 0 条评论

发表评论取消回复

Cookie 前缀：__Host- 与 __Secure- 安全约束

Popover API 实战：锚定弹出层的无障碍与性能

Popover API 原生弹层：无框架交互与可访问性

Payment Request API 实战：支付流程与兼容回退

OpenTelemetry 全栈可观测性落地指南（2025）

评论列表 共有 0 条评论

发表评论 取消回复

Cookie 前缀：Host- 与 Secure- 安全约束

评论列表共有 0 条评论

发表评论取消回复