HttpOnly 讓 JavaScript 讀不到 cookie,削弱 XSS;Secure 限定只走 HTTPS;SameSite 控制跨站是否送出,是防 CSRF 的核心,而 SameSite=None 必須搭配 Secure 才有效。Domain 與 Path 決定作用範圍;Max-Age 與 Expires 決定存活多久。
關於這個主題的常見疑問與實用解答。
Strict 完全不跨站送;Lax 只在頂層導覽(如點連結)時送;None 則所有跨站請求都送,但必須搭配 Secure。Lax 是現代瀏覽器的預設值。
HttpOnly 讓 JavaScript 讀不到 cookie(防 XSS 竊取);Secure 讓它不經明文 HTTP 傳送(防網路攔截)。兩者防的是不同攻擊,所以敏感 cookie 通常兩個都設。
如果既沒有 Max-Age 也沒有 Expires,它就是 session cookie,關閉瀏覽器就消失。Max-Age(從現在起的秒數)優先於 Expires(絕對時間);Max-Age 為 0 或更小則立即刪除。
不會。所有解析都在你的瀏覽器中完成,你貼上的任何內容都不會離開你的裝置。