前端设置Cookie时如何确保安全策略正确生效?
最近在用Vue做登录功能,后端返回了Set-Cookie头,但我发现浏览器里存的Cookie没有HttpOnly和Secure标志,担心有XSS风险。我试过在axios请求里加withCredentials: true,也确认了后端设置了这些属性,但本地开发环境(http://localhost:8080)下Secure好像不生效?是不是必须用HTTPS才行?
这是我的登录请求代码:
<script>
import axios from 'axios';
export default {
methods: {
async login() {
const res = await axios.post('/api/login', { user, pass }, {
withCredentials: true
});
// 后端返回 Set-Cookie: token=abc123; HttpOnly; Secure; SameSite=Strict
}
}
}
</script>- 2
回答
23浏览
前端设置Cookie时如何防止Session劫持?
我在做登录功能,后端返回了session cookie,但听说如果没设安全属性很容易被XSS偷走。我试过加HttpOnly,但前端又没法读了,现在不知道该怎么平衡安全和功能。 比如我现在登录页的样式是...
- 1
回答
24浏览
HttpOnly Cookie 为什么前端读不到?是我设置错了吗?
我在后端设置了带 HttpOnly 的 Cookie,但前端用 document.cookie 怎么都读不到,是不是我哪里配置错了? 后端是用 Node.js 写的,代码大概是这样的: res.coo...
- 1
回答
4浏览
前端如何防止Cookie被劫持?
我最近在用Vue做登录功能,后端返回的session cookie好像没加安全属性,担心会被XSS或者中间人攻击偷走。试过在axios里加withCredentials,但不知道前端能不能主动设置co...
- 1
回答
11浏览
Cookie Prefix 到底怎么用才安全?
我在做登录功能时想用 Cookie Prefix 来增强安全性,但设置 __Host- 前缀后浏览器根本不保存 cookie,这是为啥? 我后端返回的 Set-Cookie 头是这样写的:Set-Co...
- 1
回答
22浏览
设置 Cookie 的 Max-Age 为什么没生效?
我在前端用 JavaScript 设置了一个带 Max-Age 的 Cookie,但发现它好像没起作用,关闭浏览器后 Cookie 还在。我查了文档说 Max-Age 是秒数,应该能控制过期时间,但实...
- 1
回答
19浏览
Cookie被篡改了怎么办?如何保证前端收到的Cookie没被用户修改?
我们后端设置了登录态的 Cookie,但发现有些用户手动改了 Cookie 里的 userId,然后就能访问别人的数据。明明后端做了签名验证,但前端有时候还是会拿到被篡改过的值,比如用 DevTool...
- 1
回答
21浏览
前端如何防止Cookie被第三方脚本窃取?
我在做登录功能时,后端设置了HttpOnly的Cookie,但还是担心XSS攻击下其他恶意脚本能读取到敏感信息。虽然HttpOnly能阻止JS访问,但如果页面引入了不可信的第三方脚本,会不会有别的泄露...
- 2
回答
46浏览
Persistent Cookie设置Secure后为何还能被XSS窃取?
我在前端设置了持久化Cookie时添加了Secure; HttpOnly属性,但PenTest工具显示XSS脚本仍能读取到cookie值。测试时发现当页面存在注入点时,攻击者通过document.co...
- 2
回答
88浏览
Double Submit Cookie如何防止CSRF攻击?我的实现总出现跨域问题怎么办?
我按照教程实现了双重提交Cookie,后端设置了CSRF-TOKEN到Cookie和响应头,前端在请求头带上这个Token。但测试时发现,跨域请求时浏览器报“Blocked cookie with s...
- 2
回答
74浏览
加密后的Cookie在前端怎么安全处理?
我在项目里给敏感数据用了AES加密存到Cookie,但前端JS需要解密后做验证。现在纠结的是,如果直接把密钥写在代码里,感觉太不安全了,试过用环境变量替换密钥,但发现只要反编译JS还是能找到,有没有更...
HttpOnly和Secure都是后端在Set-Cookie头里决定的,你前端控制不了。你得检查后端代码,确保响应头正确设置了这些属性。
开发环境想让它生效有两个办法:要么用mkcert这类工具起本地HTTPS服务,要么就在Chrome里开个flag允许localhost用Secure Cookie(chrome://flags/#allow-insecure-localhost)。生产环境反正必须HTTPS,不用纠结。
简单说就是:后端检查响应头,开发环境要么加证书要么忍忍,生产环境强制HTTPS就行。