手记

cookie的知识盲点

1.关于Domain
domain表示的是cookie所在的域,默认为当前域名,如网址为www.test.com/test/test.aspx,那么domain默认为www.test.com。而跨域访问,如域A为t1.test.com,域B为t2.test.com,那么在域A生产一个令域A和域B都能访问的cookie就要将该cookie的domain设置为.test.com;如果要在域A生产一个令域A不能访问而域B能访问的cookie就要将该cookie的domain设置为t2.test.com。在删除cookie时只能删除指定domain的cookie,没设置,默认为当前域名
2关于secure属性
默认为false,设置以后只有在https请求中才会携带此cookie
3关于SameSite 属性
是用来防止用来防止 CSRF 攻击和用户追踪,是在服务器端设置放在响应头中的set-cookie来保证第三方 cookie的安全性

参考链接

4关于httponly

服务端可以设置这个属性来防止通过Document.cookie来拿到,而浏览器设置cookie时设置不了这个属性

0人推荐
随时随地看视频
慕课网APP