- 对保存到Cookie里面的敏感信息必须加密。
- 设置HttpOnly为true,该属性值的作用就是防止Cookie值被页面脚本读取,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS(Cross Site Scripting,跨站脚本攻击)。
- 设置Secure为true,给Cookie设置该属性时,只有在https协议下访问的时候,浏览器才会发送该Cookie。
- 给Cookie设置有效期,如果不设置有效期,万一用户获取到用户的Cookie后,就可以一直使用用户身份登录。