Cookie 的 Domain 设置到底该怎么配才安全?
我在做登录功能时设置了 Cookie,但对 Domain 属性有点拿不准。比如我的前端是 app.example.com,后端 API 是 api.example.com,想让 Cookie 能在两个子域共享,就写了 Domain=.example.com。
但同事说这样有安全风险,可能被其他子域读到?可我不设 Domain 的话,Cookie 又只在 app.example.com 生效,API 请求带不上凭证。到底该怎么配才既安全又能跨子域?
我试过只设 Path,也试过不设 Domain,但跨子域请求时后端根本收不到 Cookie。现在卡在这儿了,求指点!
- 2
回答
24浏览
Cookie 的 Domain 设置到底该怎么配才安全?
我在部署一个前后端分离的项目,后端设置 Cookie 时指定了 Domain 为 .example.com,但前端在子域名 app.example.com 下死活读不到这个 Cookie,是不是 Do...
- 2
回答
128浏览
设置Cookie的Domain为子域名后,主域名无法访问,该怎么解决?
我在子域名测试.example.com设置了一个Cookie,代码这样写的:document.cookie = "auth=123; Domain=test.example.com; Path=/;"...
- 1
回答
21浏览
Cookie Prefix 到底怎么用才安全?
我在做登录功能时想用 Cookie Prefix 来增强安全性,但设置 __Host- 前缀后浏览器根本不保存 cookie,这是为啥? 我后端返回的 Set-Cookie 头是这样写的:Set-Co...
- 1
回答
19浏览
Cookie 的 Domain 设置到底该怎么配才安全?
我在开发一个子域名下的前端应用,比如 app.example.com,后端设置 Cookie 时指定了 Domain 为 .example.com,这样主站和其他子域都能读到。但听说这样有安全风险,是...
- 2
回答
59浏览
Postman中手动设置的Cookie怎么没随请求发送?
在测试跨域接口时需要模拟登录态,我手动在Postman的Cookies标签里添加了domain.com域的cookie,但实际发送请求时header里没有带上它。 之前用前端代码设置过类似逻辑:doc...
- 1
回答
30浏览
X-Permitted-Cross-Domain-Policies 安全头到底该怎么配?
最近在做前端安全加固,看到建议加 X-Permitted-Cross-Domain-Policies 头,但文档说法不一。我试过设成 "none",结果 Flash 资源加载报错(虽然现在没人用 Fl...
- 1
回答
25浏览
Double Submit Cookie 防 CSRF 到底怎么实现才安全?
我最近在项目里尝试用 Double Submit Cookie 方案防 CSRF,后端把 token 放在 Set-Cookie 里,前端再从 cookie 读出来塞到请求头。但我不确定这样是不是真的...
- 1
回答
71浏览
Cookie 设置了 Secure 标志后本地开发无法读取,怎么办?
我在后端设置 Cookie 时加了 Secure 标志,结果本地用 http://localhost:3000 开发时前端完全拿不到这个 Cookie,控制台也看不到。但线上 HTTPS 环境又没问题...
- 1
回答
36浏览
移动端登录后Cookie不安全,怎么设置才防窃取?
我最近在用 Vue 做一个移动端的登录功能,后端返回了 Set-Cookie,但我发现这些 Cookie 在 Chrome DevTools 里能直接看到,而且没加 Secure 或 HttpOnly...
- 1
回答
28浏览
SameSite Cookie 设置后登录状态不生效是怎么回事?
我最近在 React 项目里处理登录逻辑,后端设置了 Set-Cookie 响应头,包含 SameSite=Lax 和 Secure。但我在本地开发时(http://localhost:3000)发现...
别忘了后端也要校验来源域名,多重保险总没错。干了这么多年,这种配置见多了,放心用吧。