Cookie 的 Max-Age 设置为 0 真的能立即删除吗?
我在做登录登出功能时,想用设置 Max-Age=0 来清除 Cookie,但发现浏览器里 Cookie 还在,是不是我理解错了?
后端返回的 Set-Cookie 头是这样写的:
Set-Cookie: auth_token=; Max-Age=0; Path=/; HttpOnly; Secure但刷新页面后,这个 Cookie 依然存在,难道 Max-Age=0 不是立刻过期的意思吗?还是说必须和 Expires 一起用才行?
- 2
回答
99浏览
设置 Cookie 的 Max-Age 为什么没生效?
我在前端用 JavaScript 设置了一个带 Max-Age 的 Cookie,但发现它好像没起作用,关闭浏览器后 Cookie 还在。我查了文档说 Max-Age 是秒数,应该能控制过期时间,但实...
- 2
回答
157浏览
为什么设置了max-age的Persistent Cookie没保存到下次访问?
我在登录接口里设置了带max-age=3600的Cookie,明明设置了持久化时间,但刷新页面后cookie就消失了。测试代码是这样的: res.cookie('token', token, { ma...
- 2
回答
70浏览
设置了Cache-Control:max-age=3600后页面还是频繁请求CSS文件?
在开发中,我给CSS文件设置了HTTP头Cache-Control: max-age=3600,但发现每次刷新页面时,浏览器都会重新请求该文件。明明应该缓存一小时才对啊! 尝试过清除浏览器缓存后再访问...
- 2
回答
52浏览
Cache-Control 设置了 max-age=3600,为什么浏览器还是发请求?
我给静态资源加了 Cache-Control: max-age=3600,但每次刷新页面,浏览器还是会向服务器发请求,只是返回 304。不是应该直接用缓存、不发请求才对吗? 我试过在 Nginx 里配...
- 1
回答
46浏览
Cache-Control 设置了 max-age=3600,为什么浏览器还是发请求?
我给静态资源加了 Cache-Control: max-age=3600,但每次刷新页面,浏览器还是会发请求到服务器,只是返回 304。不是应该直接用本地缓存、不发请求才对吗? 我用的是 Nginx,...
- 2
回答
216浏览
Remax中使用Page组件时小程序正常但Web端显示空白页面怎么办?
我在用Remax开发多端应用时遇到奇怪问题,同样的Page组件在小程序端能正常渲染内容,但Web端只显示空白页面。检查过网络请求都没问题,控制台也没有报错。 尝试把页面代码简化到只剩最基础的结构还是不...
- 2
回答
48浏览
前端存 Access Token 到底该用 localStorage 还是 cookie?
最近在做登录功能,后端返回了 Access Token,但我不确定该存在哪。听说 localStorage 容易被 XSS 攻击,但用 cookie 又怕 CSRF,到底怎么选才安全? 我试过把 to...
- 2
回答
65浏览
设置Cookie的Expires时间后,为什么浏览器仍然保留未过期的Cookie?
我之前给登录页面的cookie设置了过期时间为当前时间减1天,按理说应该立即失效,但用户退出登录后刷新页面,浏览器里这个cookie居然还在? 我检查过代码是这样写的:document.cookie ...
- 1
回答
76浏览
设置 SameSite=Strict 的 Cookie 后,Vue 前端还能正常发送 CSRF Token 吗?
我在后端设置了带 SameSite=Strict 的 CSRF Cookie,但前端用 Vue 发请求时好像拿不到这个 Cookie,导致 CSRF Token 传不上去。我试过在 axios 请求里...
- 2
回答
40浏览
Cookie 的 Domain 设置到底该怎么配才安全?
我在做登录功能时设置了 Cookie,但对 Domain 属性有点拿不准。比如我的前端是 app.example.com,后端 API 是 api.example.com,想让 Cookie 能在两个...
你这条删除指令看起来没问题,但我猜大概率是Domain不匹配的问题。
如果当初设置Cookie时没有指定Domain(浏览器默认只在当前域名生效),而现在删除时也没有指定Domain,那应该能删掉。但反过来也成立——如果你之前设置时没指定Domain,现在删除时却指定了Domain,或者反过来,就会导致删除失败,浏览器会把它当成两条不同的Cookie。
还有个常见坑:如果你的网站有子域名,比如 www.example.com 和 example.com ,当初在 www 下设置的Cookie,删除时没指定Domain的话,它只会删 www 下的,example.com 下的还在。
建议改成这样试试:
或者更简单的方法——直接用空值覆盖:
把 Secure 和 HttpOnly 去掉试试,有时候属性对不上就会导致删除不生效。
如果还不行,打印一下浏览器里那条Cookie的所有属性(Domain、Path、Secure这些),跟删除时用的对比一下,肯定有哪个值对不上。