头部安全扫描站点 https://securityheaders.com/
XSS
cookie 的 httponly 属性是 cookie 的扩展功能,它使 js 脚本无法获得 cookie。其主要目的为防止 XSS 对 cookie 的信息窃取。
发送指定 httponly 属性的 cookie 的方法
Ser-cookie:name=value;HttpOnly
首部字段 X-XSS-Protection 属于HTTP 的响应部首,它是针对XSS 的一种对策,用于控制浏览器 XSS防护机制的开关。设置如下
- 0:将 XSS 过滤设置成无效状态
- 1:将 XSS 过滤设置成有效状态
CSRF
domain 属性
通过 cookie 的 domain 属性指定的域名可做到与结尾匹配一致。比如,当指定 example.com 后,除 example.com 以外,www.example.com 或 www2.example.com 等都可以发送 cookie.
因此,除了针对具体指定的多个域名发送 cookie 之外,不指定 domain 属性显得更安全。
secure 属性
cookie 的 secure 属性用于限制 web 页面仅在HTTPS安全链接时,才可以发送 cookie.