Cookie 的 Domain 设置到底该怎么配才安全?
我在开发一个子域名下的前端应用,比如 app.example.com,后端设置 Cookie 时指定了 Domain 为 .example.com,这样主站和其他子域都能读到。但听说这样有安全风险,是不是应该只设成 app.example.com 更安全?
我试过把 Domain 改成具体的子域名,结果其他子域就拿不到登录态了,业务又需要跨子域共享。现在有点纠结,到底怎么配置 Domain 才既满足功能又安全?
- 2
回答
33浏览
Cookie 的 Domain 设置到底该怎么配才安全?
我在做登录功能时设置了 Cookie,但对 Domain 属性有点拿不准。比如我的前端是 app.example.com,后端 API 是 api.example.com,想让 Cookie 能在两个...
- 2
回答
55浏览
Cookie 的 Domain 设置到底该怎么配才安全?
我在部署一个前后端分离的项目,后端设置 Cookie 时指定了 Domain 为 .example.com,但前端在子域名 app.example.com 下死活读不到这个 Cookie,是不是 Do...
- 2
回答
151浏览
设置Cookie的Domain为子域名后,主域名无法访问,该怎么解决?
我在子域名测试.example.com设置了一个Cookie,代码这样写的:document.cookie = "auth=123; Domain=test.example.com; Path=/;"...
- 1
回答
49浏览
Cookie Prefix 到底怎么用才安全?
我在做登录功能时想用 Cookie Prefix 来增强安全性,但设置 __Host- 前缀后浏览器根本不保存 cookie,这是为啥? 我后端返回的 Set-Cookie 头是这样写的:Set-Co...
- 2
回答
82浏览
Postman中手动设置的Cookie怎么没随请求发送?
在测试跨域接口时需要模拟登录态,我手动在Postman的Cookies标签里添加了domain.com域的cookie,但实际发送请求时header里没有带上它。 之前用前端代码设置过类似逻辑:doc...
- 1
回答
88浏览
X-Permitted-Cross-Domain-Policies 安全头到底该怎么配?
最近在做前端安全加固,看到建议加 X-Permitted-Cross-Domain-Policies 头,但文档说法不一。我试过设成 "none",结果 Flash 资源加载报错(虽然现在没人用 Fl...
- 1
回答
47浏览
Double Submit Cookie 防 CSRF 到底怎么实现才安全?
我最近在项目里尝试用 Double Submit Cookie 方案防 CSRF,后端把 token 放在 Set-Cookie 里,前端再从 cookie 读出来塞到请求头。但我不确定这样是不是真的...
- 1
回答
98浏览
Cookie 设置了 Secure 标志后本地开发无法读取,怎么办?
我在后端设置 Cookie 时加了 Secure 标志,结果本地用 http://localhost:3000 开发时前端完全拿不到这个 Cookie,控制台也看不到。但线上 HTTPS 环境又没问题...
- 1
回答
54浏览
移动端登录后Cookie不安全,怎么设置才防窃取?
我最近在用 Vue 做一个移动端的登录功能,后端返回了 Set-Cookie,但我发现这些 Cookie 在 Chrome DevTools 里能直接看到,而且没加 Secure 或 HttpOnly...
- 1
回答
59浏览
SameSite Cookie 设置后登录状态不生效是怎么回事?
我最近在 React 项目里处理登录逻辑,后端设置了 Set-Cookie 响应头,包含 SameSite=Lax 和 Secure。但我在本地开发时(http://localhost:3000)发现...
1. 敏感cookie(比如session)就用具体子域名:
app.example.com2. 非敏感cookie(比如theme preference)可以放宽到
.example.com后端设置时可以这样区分:
这样既保证了安全性(关键session不会泄露到其他子域),又能实现部分数据共享。顺便说一句,记得把
Secure和HttpOnly都加上,https环境下这是基本操作。如果业务必须跨子域共享登录态,可以考虑用JWT放在localStorage,或者搞个专门的auth子域。不过后者实现起来更折腾,建议先按上面方案试试。