Cookie 的 Domain 设置到底该怎么配才安全?
我在开发一个子域名下的前端应用,比如 app.example.com,后端设置 Cookie 时指定了 Domain 为 .example.com,这样主站和其他子域都能读到。但听说这样有安全风险,是不是应该只设成 app.example.com 更安全?
我试过把 Domain 改成具体的子域名,结果其他子域就拿不到登录态了,业务又需要跨子域共享。现在有点纠结,到底怎么配置 Domain 才既满足功能又安全?
- 2
回答
118浏览
设置Cookie的Domain为子域名后,主域名无法访问,该怎么解决?
我在子域名测试.example.com设置了一个Cookie,代码这样写的:document.cookie = "auth=123; Domain=test.example.com; Path=/;"...
- 2
回答
56浏览
Postman中手动设置的Cookie怎么没随请求发送?
在测试跨域接口时需要模拟登录态,我手动在Postman的Cookies标签里添加了domain.com域的cookie,但实际发送请求时header里没有带上它。 之前用前端代码设置过类似逻辑:doc...
- 1
回答
7浏览
SameSite Cookie 设置后登录状态不生效是怎么回事?
我最近在 React 项目里处理登录逻辑,后端设置了 Set-Cookie 响应头,包含 SameSite=Lax 和 Secure。但我在本地开发时(http://localhost:3000)发现...
- 2
回答
44浏览
SameSite=Lax设置后,跨域请求携带Cookie失效怎么办?
我在项目中设置了Cookie的SameSite=Lax和Secure属性,但跨域请求到第三方支付接口时,Cookie没有被携带,导致登录失效。后端返回的Set-Cookie头看起来没问题,前端请求也用...
- 2
回答
40浏览
设置X-Permitted-Cross-Domain-Policies头后为什么跨域策略文件还是能被访问?
我刚给项目加了安全头配置,把X-Permitted-Cross-Domain-Policies设置成null,但用漏洞扫描工具测试时发现crossdomain.xml文件仍然能被外部访问,这不应该是阻...
- 2
回答
51浏览
SameSite=None; Secure设置了,但跨域请求还是丢失Cookie怎么办?
我在开发一个单页应用时,给Cookie设置了SameSite=None; Secure,但跨域请求到后端API时Cookie还是没带上,这是为什么啊? 场景是这样的:前端用Vue跑在https://s...
- 2
回答
53浏览
设置X-Permitted-Cross-Domain-Policies后Flash跨域还是被拦截怎么办?
我在配置安全头时加了X-Permitted-Cross-Domain-Policies: master-only,但Flash上传功能请求crossdomain.xml时还是报跨域错误,这是为什么? ...
- 1
回答
22浏览
前端设置的Cookie需要加密吗?怎么防窃取?
我在做登录功能,后端返回 token 后我用 JS 存到 Cookie 里,但听说 Cookie 容易被 XSS 偷走,是不是得加密?可前端加密好像也没用啊,密钥放哪都不安全…… 现在代码是这样存的:...
- 1
回答
6浏览
Cookie被篡改了怎么办?如何保证前端收到的Cookie没被用户修改?
我们后端设置了登录态的 Cookie,但发现有些用户手动改了 Cookie 里的 userId,然后就能访问别人的数据。明明后端做了签名验证,但前端有时候还是会拿到被篡改过的值,比如用 DevTool...
- 1
回答
17浏览
为什么设置的Cookie在浏览器里看不到?
我在本地开发时用 document.cookie = "token=abc123" 设置了 Cookie,但在 Chrome 开发者工具的 Application 面板里完全找不到,这是为啥? 我试过...
1. 敏感cookie(比如session)就用具体子域名:
app.example.com2. 非敏感cookie(比如theme preference)可以放宽到
.example.com后端设置时可以这样区分:
这样既保证了安全性(关键session不会泄露到其他子域),又能实现部分数据共享。顺便说一句,记得把
Secure和HttpOnly都加上,https环境下这是基本操作。如果业务必须跨子域共享登录态,可以考虑用JWT放在localStorage,或者搞个专门的auth子域。不过后者实现起来更折腾,建议先按上面方案试试。