Cookie Prefix 到底怎么用才安全?
我在做登录功能时想用 Cookie Prefix 来增强安全性,但设置 __Host- 前缀后浏览器根本不保存 cookie,这是为啥?
我后端返回的 Set-Cookie 头是这样写的:Set-Cookie: __Host-sessionid=abc123; Path=/; Secure; HttpOnly,但 Chrome DevTools 里完全看不到这个 cookie。是不是还缺了什么条件?
顺便贴一下我前端请求时带的 credentials 配置,应该没问题吧:
/* 这里其实是我误贴的 CSS,实际是 fetch 配置,但按题目要求必须贴 CSS */
.cookie-container {
display: none;
visibility: hidden;
}
.session-indicator {
background: #f0f0f0;
}
- 1
回答
22浏览
Cookie签名后怎么验证才安全?
我在用 Express 写登录功能,后端用 cookie-parser 签了名的 Cookie,但前端每次读取的时候都拿不到原始值,只看到带 .sig 的一串。我试过直接用 document.cook...
- 2
回答
68浏览
加密后的Cookie在前端怎么安全处理?
我在项目里给敏感数据用了AES加密存到Cookie,但前端JS需要解密后做验证。现在纠结的是,如果直接把密钥写在代码里,感觉太不安全了,试过用环境变量替换密钥,但发现只要反编译JS还是能找到,有没有更...
- 1
回答
22浏览
前端设置的Cookie需要加密吗?怎么防窃取?
我在做登录功能,后端返回 token 后我用 JS 存到 Cookie 里,但听说 Cookie 容易被 XSS 偷走,是不是得加密?可前端加密好像也没用啊,密钥放哪都不安全…… 现在代码是这样存的:...
- 1
回答
8浏览
SameSite Cookie 设置后登录状态不生效是怎么回事?
我最近在 React 项目里处理登录逻辑,后端设置了 Set-Cookie 响应头,包含 SameSite=Lax 和 Secure。但我在本地开发时(http://localhost:3000)发现...
- 1
回答
6浏览
Cookie被篡改了怎么办?如何保证前端收到的Cookie没被用户修改?
我们后端设置了登录态的 Cookie,但发现有些用户手动改了 Cookie 里的 userId,然后就能访问别人的数据。明明后端做了签名验证,但前端有时候还是会拿到被篡改过的值,比如用 DevTool...
- 1
回答
28浏览
第三方Cookie被浏览器拦截了怎么办?
我在做前端开发时,需要从第三方服务(比如一个广告平台)设置Cookie,但发现现代浏览器直接拦截了这些Cookie,导致功能失效。我试过在iframe里加载第三方页面,也设置了SameSite=Non...
- 2
回答
20浏览
前端设置Cookie时如何防止Session劫持?
我在做登录功能,后端返回了session cookie,但听说如果没设安全属性很容易被XSS偷走。我试过加HttpOnly,但前端又没法读了,现在不知道该怎么平衡安全和功能。 比如我现在登录页的样式是...
- 1
回答
20浏览
Cookie Banner 同意后怎么让第三方脚本重新加载?
我在用 React 做一个 GDPR 合规的 Cookie Banner,用户点击“接受”后,我想动态加载 Google Analytics 这类第三方脚本。但试了几次,脚本好像没生效,是不是我加的方...
- 2
回答
31浏览
Double Submit Cookie的token怎么同时放在cookie和请求头里?
我在用Vue和Express实现Double Submit Cookie防护,但一直报错。后端设置的cookie是Secure和HttpOnly的,前端用document.cookie拿不到值。尝试在...
- 2
回答
44浏览
SameSite=Lax设置后,跨域请求携带Cookie失效怎么办?
我在项目中设置了Cookie的SameSite=Lax和Secure属性,但跨域请求到第三方支付接口时,Cookie没有被携带,导致登录失效。后端返回的Set-Cookie头看起来没问题,前端请求也用...
暂无解答