1.前端JavaScript基础
Source
Edit
History

cookie

文章目录
  1. 1. Secure
  2. 2. SameSite
  3. 3. 后端设置cookie

  • name
  • value
  • domain
  • path
  • Expired/Max-age
  • HttpOnly: 为true时js不能读取,更安全

Secure

是否只能在https下被读取【参考资料

SameSite

普及之后可以替换jwt方案(CSRF攻击),但有兼容性问题:caniuse 93%

  • strict | lax | none参考资料
  • strict: 这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,用户点击跳转就不会带有 GitHub 的 Cookie,跳转过去总是未登陆状态。
  • lax: 目前浏览器默认行为,只有在导航行为或GET请求时(比如点击a链接),才会将对应域名的cookie发送出去
  • none: 在设置了Secure时,可以设置此值,将会在任何情况下都发送cookie

后端设置cookie

通过在response.header中Set-Cookie来设置