Cookie 安全性問題

當前位置：點晴教程→知識管理交流 →『技術(shù)文檔交流』

freeflydom

2025年5月13日 10:20 本文熱度 97

1. 如何實現(xiàn)安全的 HttpOnly 和 Secure Cookie？ ?

?問題?：防止 XSS 攻擊竊取 Cookie，同時確保僅通過 HTTPS 傳輸。
?解決方案?：

?服務(wù)端設(shè)置?（Node.js 示例）：
```
res.setHeader('Set-Cookie', [
  'token=abc123; HttpOnly; Secure; SameSite=Strict',
  'theme=dark; HttpOnly; Secure; Max-Age=3600'
]);
```
- HttpOnly：禁止 JavaScript 訪問 Cookie。
- Secure：僅允許 HTTPS 傳輸。
- SameSite=Strict：阻止 CSRF 攻擊。

?2. 跨域請求如何攜帶 Cookie？ ?

?問題?：CORS 請求默認不發(fā)送 Cookie，需顯式配置。
?解決方案?：

?前端配置?（Axios）：

axios.get('https://api.example.com/data', {
  withCredentials: true  // 允許攜帶 Cookie
});

?服務(wù)端配置?（Nginx）：

add_header 'Access-Control-Allow-Origin' 'https://your-app.com';
add_header 'Access-Control-Allow-Credentials' 'true';

?注意?：Access-Control-Allow-Origin 不能為 *。

?3. 如何實現(xiàn) Cookie 的自動續(xù)期？ ?

?問題?：用戶長時間未操作但保持登錄狀態(tài)。
?解決方案?：

?滑動過期時間?（JWT 示例）：

function refreshToken(oldToken) {
  const newExpiry = Date.now() + 30 * 60 * 1000; // 延長 30 分鐘
  return jwt.sign({ ...jwt.decode(oldToken), exp: newExpiry }, secret);
}

每次請求驗證 Cookie 后，重置過期時間。

?4. Cookie 與 LocalStorage 如何選擇？ ?

?對比?：

?特性?	?Cookie?	?LocalStorage?
?容量?	≤4KB	≥5MB
?自動傳輸?	是（通過請求頭）	否
?安全性?	可設(shè) `HttpOnly`/`Secure`	易被 XSS 竊取
?適用場景?	會話管理、身份驗證	持久化本地數(shù)據(jù)（如主題設(shè)置）

?5. 如何防御 Cookie 劫持？ ?

?解決方案?：

?SameSite 屬性?：
```
httpCopy Code
Set-Cookie: sessionId=123; SameSite=Lax; Secure
```
- Lax：允許同站和導航跳轉(zhuǎn)請求攜帶 Cookie。
- Strict：完全禁止跨站攜帶7。

?綁定 User-Agent/IP?：

// 服務(wù)端驗證 Cookie 時檢查 User-Agent
if (req.cookies.token && req.headers['user-agent'] === storedUA) {
  // 允許訪問
}

?注意?：IP 綁定可能誤傷動態(tài) IP 用戶。

?6. 如何實現(xiàn)分布式系統(tǒng)的 Session 共享？ ?

?問題?：多臺服務(wù)器需共享用戶會話狀態(tài)。
?解決方案?：

?Redis 集中存儲?（Node.js + Redis）：

const session = require('express-session');
const RedisStore = require('connect-redis')(session);
app.use(session({
  store: new RedisStore({ host: 'redis-server' }),
  secret: 'your-secret',
  resave: false
}));