Name:cookie名
Value:cookie值
Domain:屬於哪個域名
Path:屬於哪個路徑
Expires:過期時間
Size:大小
HTTP:HttpOnly=true的cookie不能被js獲取到,無法用document.cookie打出cookie的內容
Secure:只能用https協議發送給服務器
SameSite:
一種新的防止跨站點請求僞造(cross site request forgery)的 http 安全特性。該值可以設置爲 Strict
或 Lax
Strict
Strict是最嚴格的防護,有能力阻止所有CSRF攻擊。然而,它的用戶友好性太差,因爲它可能會將所有GET請求進行CSRF防護處理。
例如:一個用戶在reddit.com點擊了一個鏈接(GET請求),這個鏈接是到facebook.com的,而假如facebook.com使用了Samesite-cookies並且將值設置爲了Strict,那麼用戶將不能登陸Facebook.com,因爲在Strict情況下,瀏覽器不允許將cookie從A域發送到B域。
Lax
Lax(relax的縮寫?)屬性只會在使用危險HTTP方法發送跨域cookie的時候進行阻止,例如POST方式。
例1:一個用戶在reddit.com點擊了一個鏈接(GET請求),這個鏈接是到facebook.com的,而假如facebook.com使用了Samesite-cookies並且將值設置爲了Lax,那麼用戶可以正常登錄facebok.com,因爲瀏覽器允許將cookie從A域發送到B域。
例2:一個用戶在reddit.com提交了一個表單(POST請求),這個表單是提交到facebook.com的,而假如facebook.com使用了Samesite-cookies並且將值設置爲了Lax,那麼用戶將不能正常登陸Facebook.com,因爲瀏覽器不允許使用POST方式將cookie從A域發送到B域