Cookie 前缀：Host- 与 Secure- 安全约束

35 阅读 0 评论 0 点赞

概述

__Secure- 要求设置在安全上下文且携带 Secure；__Host- 额外要求 Path=/、不含 Domain 并在安全上下文设定，避免子路径或子域覆盖。

用法/示例


Set-Cookie: __Secure-id=abc; Secure; SameSite=Lax; Path=/; Expires=Tue, 01 Jan 2030 00:00:00 GMT
Set-Cookie: __Host-session=xyz; Secure; SameSite=Strict; Path=/; Expires=Tue, 01 Jan 2030 00:00:00 GMT

工程建议

对会话与关键标识使用 __Host- 前缀并禁止 Domain；统一在根路径设置。
严格使用 Secure 与合理 SameSite；为跨站场景评估 SameSite=None; Secure。
审计遗留 Cookie 的路径与域配置，避免被更宽的 Cookie 覆盖。

参考与验证

MDN：Set-Cookie — https://developer.mozilla.org/docs/Web/HTTP/Headers/Set-Cookie
web.dev：Cookie prefixes — https://web.dev/articles/cookie-prefixes

点赞(0) 打赏

本文分类：网络技术
本文标签：无
浏览次数：35 次浏览
发布日期：2026-04-30 13:43:14
本文链接：https://www.ybb.press/network-tech/1633.html

上一篇 > Conda渠道与包哈希治理（channels-校验-白名单）最佳实践
下一篇 > Core Web Vitals 2024：INP 取代 FID 的优化清单

Cookie 前缀：Host- 与 Secure- 安全约束

概述

用法/示例

工程建议

参考与验证

评论列表共有 0 条评论

发表评论取消回复

Cookie 前缀：__Host- 与 __Secure- 安全约束

概述

用法/示例

工程建议

参考与验证

Popover API 实战：锚定弹出层的无障碍与性能

Popover API 原生弹层：无框架交互与可访问性

Payment Request API 实战：支付流程与兼容回退

OpenTelemetry 全栈可观测性落地指南（2025）

评论列表 共有 0 条评论

发表评论 取消回复

Cookie 前缀：Host- 与 Secure- 安全约束

评论列表共有 0 条评论

发表评论取消回复