最近疑惑有些项目有的是前端写cookie，有的是后端写cookie，找了几篇文章：

• Cookie在前端写还是后端？
• 前端必要懂的，完整的 HTTP cookie 指南
• Servlet总结

ps：貌似这篇Servlet总结在JavaGuide网站上显示不全，导航栏没有该文章，必须手动输入搜索框才出现。

Cookies是简单的文本字符串，但可以通过Domain和Path对其权限进行控制，具有Secure的Cookie，只能通过 HTTP S进行传输，而可以使用 HttpOnly从 JS隐藏。

但是，对于所有预期的用途，cookie都可能使用户暴露于攻击和漏洞之中。

浏览器的供应商和Internet工程任务组（Internet Engineering Task Force）年复一年地致力于提高cookie的安全性，最近的一步是SameSite。

怎么比较安全使用cookie？

• 仅使用 HTTPS
• 尽可能带有 HttpOnly 属性
• 正确的SameSite配置
• 不携带敏感数据

变更历史

最后更新于: 查看全部变更历史

• 0d58f-

  docs: new update

  于 2024/12/24
• c3178-

  update lastest vp

  于 2024/12/22
• ba15f-

  dosc: remove unclear tags

  于 2024/10/15
• ef3c0-

  docs: add spring integrated web

  于 2024/10/12
• 81b40-

  fix: can not run local repo

  于 2024/10/7