HttpOnly 让 JavaScript 读不到 cookie,削弱 XSS;Secure 限定只走 HTTPS;SameSite 控制跨站是否送出,是防 CSRF 的核心,而 SameSite=None 必须搭配 Secure 才有效。Domain 与 Path 决定作用范围;Max-Age 与 Expires 决定存活多久。
关于这个主题的常见疑问与实用解答。
Strict 完全不跨站送;Lax 只在顶层导览(如点链接)时送;None 则所有跨站请求都送,但必须搭配 Secure。Lax 是现代浏览器的默认值。
HttpOnly 让 JavaScript 读不到 cookie(防 XSS 窃取);Secure 让它不经明文 HTTP 传送(防网络拦截)。两者防的是不同攻击,所以敏感 cookie 通常两个都设。
如果既没有 Max-Age 也没有 Expires,它就是 session cookie,关闭浏览器就消失。Max-Age(从现在起的秒数)优先于 Expires(绝对时间);Max-Age 为 0 或更小则立即删除。
不会。所有解析都在你的浏览器中完成,你粘贴的任何内容都不会离开你的设备。