为什么设置了max-age的Persistent Cookie没保存到下次访问?
我在登录接口里设置了带max-age=3600的Cookie,明明设置了持久化时间,但刷新页面后cookie就消失了。测试代码是这样的:
res.cookie('token', token, {
maxAge: 3600000, // 1小时
httpOnly: true,
secure: true,
sameSite: 'strict',
path: '/'
});
后端用的是Express,浏览器是Chrome最新版。明明设置的maxAge参数没错,但关闭页面重新打开时Cookie就没了。试过在Chrome设置里检查了Cookie拦截选项,发现没开启阻止功能。难道是secure属性在http环境下会失效?可我的开发环境明明配置了HTTPS啊…
- 1
回答
14浏览
设置了Cache-Control:max-age=3600后页面还是频繁请求CSS文件?
在开发中,我给CSS文件设置了HTTP头Cache-Control: max-age=3600,但发现每次刷新页面时,浏览器都会重新请求该文件。明明应该缓存一小时才对啊! 尝试过清除浏览器缓存后再访问...
- 2
回答
142浏览
Remax中使用Page组件时小程序正常但Web端显示空白页面怎么办?
我在用Remax开发多端应用时遇到奇怪问题,同样的Page组件在小程序端能正常渲染内容,但Web端只显示空白页面。检查过网络请求都没问题,控制台也没有报错。 尝试把页面代码简化到只剩最基础的结构还是不...
- 2
回答
22浏览
Persistent Cookie设置Secure后为何还能被XSS窃取?
我在前端设置了持久化Cookie时添加了Secure; HttpOnly属性,但PenTest工具显示XSS脚本仍能读取到cookie值。测试时发现当页面存在注入点时,攻击者通过document.co...
- 2
回答
13浏览
Capacitor的Storage保存数据后为什么读取不到?
我在用Capacitor的Storage保存用户设置时遇到奇怪的问题,明明调用了set方法,但马上用get读取却返回空值,这是怎么回事? 代码是这样写的: async function saveSet...
- 1
回答
27浏览
为什么设置了Cache-Control还是频繁请求资源?
我在开发单页应用时给API接口设置了Cache-Control:max-age=30,但发现每次页面刷新都会重新请求JSON数据,明明应该缓存30秒才对。 代码是这样写的:fetch('/a...
- 1
回答
20浏览
为什么设置了Cache-Control还是频繁发起请求?
大家好,我在优化API请求时设置了Cache-Control:max-age=300,但发现页面刷新时还是频繁发起请求,控制台网络标签也没显示缓存命中的状态。比如获取用户信息的接口,明明30秒内重复访...
- 2
回答
23浏览
移动端设置HttpOnly和Secure后,JS为何仍能读取Cookie?
为什么移动端设置Cookie的HttpOnly; Secure属性后,JavaScript还能通过document.cookie读取到值?明明应该被阻止才对啊。 我确认服务器响应头有Set-Cooki...
- 2
回答
59浏览
为什么设置了Cache-Control但浏览器还是重新请求资源?
我正在优化网站静态资源加载,按照教程设置了Cache-Control: public, max-age=3600,但发现每次刷新页面时资源都会重新请求。用开发者工具看响应头确实有这个字段,但网络标签显...
- 2
回答
29浏览
设置Cookie的Expires时间后,为什么浏览器仍然保留未过期的Cookie?
我之前给登录页面的cookie设置了过期时间为当前时间减1天,按理说应该立即失效,但用户退出登录后刷新页面,浏览器里这个cookie居然还在? 我检查过代码是这样写的:document.cookie ...
- 1
回答
6浏览
Vue项目中如何防止Cookie被劫持导致会话劫持?
我在用Vue做登录功能时发现,用js-cookie保存token的Cookie没设置HttpOnly,这样会不会容易被XSS攻击导致Session劫持? // 登录成功后设置Cookie的代码 met...
secure: true是关键点,这个选项意味着浏览器**只会在 HTTPS 连接下发送 Cookie**,而且在开发时很容易忽略环境是否真正走的是 HTTPS。你说开发环境配置了 HTTPS,但你有没有检查下浏览器地址栏的锁头标志?如果不是绿色小锁,说明当前连接并没有使用有效的 SSL 证书。Chrome 在非 HTTPS 下遇到
secure属性的 Cookie,会直接**忽略设置**,根本不会保存。另外,
maxAge是毫秒数没错,但刷新页面不会重置它的计时。也就是说,你设置的 1 小时是“从设置时开始”的,而不是“每次刷新页面都延长”。可以优化成:
- 检查当前域名是否真正走 HTTPS
- 用开发证书或自签名方式确保浏览器识别为安全环境
- 考虑是否真的需要 secure,或者是否要临时去掉做验证
- 用
expires属性做更明确的控制(虽然不推荐)我建议你先把
secure: true去掉测试下是否能保存,如果可以,那说明你的 HTTPS 配置还是有问题,比如证书无效或者用了自签名但没被信任。另外可以打开 Chrome 的「开发者工具 → Application → Cookie 存储」看下有没有设置成功,别只看 Network 请求头。
secure: true这个属性上。这个属性的意思是,只有在 HTTPS 环境下,浏览器才会发送这个 Cookie。如果你的开发环境虽然配置了 HTTPS,但实际访问时用的是 HTTP(比如测试时不小心用了 http://localhost),那么这个 Cookie 就不会被设置,也不会在下次访问时存在。建议你先确认一下你的请求是否真的通过 HTTPS 发起。可以用浏览器开发者工具的网络面板看一下请求的协议是不是 HTTPS。如果确实没问题,那可能是其他地方踩坑了。
另外提个安全注意事项:既然用了
httpOnly和secure,说明你对安全性有一定要求,这是很好的习惯。但别忘了,sameSite: 'strict'会导致跨站请求时 Cookie 不会被带上,这可能会对某些功能有影响(比如第三方登录)。如果你的应用场景需要支持跨站请求,可以改成'lax'。最后,确保你的
maxAge单位是毫秒,你的代码里是3600000,也就是 1 小时,这个没错。不过为了防止注入或者意外覆盖,建议在生产环境里加上域名限制,例如:这样更稳妥一些。