Cookie 前缀 Host- 与 Secure-：约束与最佳实践

6 阅读 0 评论 0 点赞

概述 Cookie 前缀通过语义约束提升安全性：`__Secure-` 要求 `Secure`，允许设置 `Domain/Path`；`__Host-` 要求 `Secure` 且 `Path=/`，不可设置 `Domain`（仅作用于当前主机）。示例 ``` # __Secure-：必须 Secure，可以设置 Domain/Path Set-Cookie: __Secure-session=abc; Secure; Path=/; SameSite=Lax # __Host-：必须 Secure，Path=/，且不可设置 Domain Set-Cookie: __Host-session=xyz; Secure; Path=/; SameSite=Lax ``` 工程建议 - 登录态与关键状态：优先使用 `__Host-` 前缀以限制作用域于当前主机；其他安全 Cookie 使用 `__Secure-`。 - 组合策略：同时设置 `SameSite` 与最小权限的 `Path`；启用 HTTPS 与 HSTS。 - 监控与审计：定期审查第三方与子域写入行为；记录异常与风险。参考与验证 - MDN Cookie 前缀说明：https://developer.mozilla.org/docs/Web/HTTP/Cookies#cookie_prefixes - IETF RFC 6265bis 草案：https://httpwg.org/http-extensions/draft-ietf-httpbis-rfc6265bis.html - web.dev Cookie 安全指南：https://web.dev/articles/cookies#secure_prefixes

点赞(0) 打赏

本文分类：网络安全
本文标签：无
浏览次数：6 次浏览
发布日期：2026-04-30 13:43:14
本文链接：https://www.ybb.press/security/1631.html

上一篇 > Cookie 分区化（CHIPS）：第三方 Cookie 的安全替代
下一篇 > Cookie 前缀实践：__Host- 与 __Secure- 的使用与约束

Cookie 前缀 Host- 与 Secure-：约束与最佳实践

评论列表共有 0 条评论

发表评论取消回复

Cookie 前缀 __Host- 与 __Secure-：约束与最佳实践

Popover API 实战：锚定弹出层的无障碍与性能

Popover API 原生弹层：无框架交互与可访问性

Payment Request API 实战：支付流程与兼容回退

OpenTelemetry 全栈可观测性落地指南（2025）

评论列表 共有 0 条评论

发表评论 取消回复

Cookie 前缀 Host- 与 Secure-：约束与最佳实践

评论列表共有 0 条评论

发表评论取消回复