如何防止cookie被盗用？

防止 Cookie 被盗用是 Web 安全的重要一环。以下是一些前端开发可以采取的措施：

1. HttpOnly 属性:

这是最重要的一步。设置 HttpOnly 属性可以防止 JavaScript 通过 document.cookie 访问 Cookie。这有效地阻止了 XSS（跨站脚本攻击）窃取 Cookie。即使攻击者注入了恶意 JavaScript 代码，也无法读取或修改带有 HttpOnly 标志的 Cookie。

示例 (在服务器端设置):

PHP: setcookie('name', 'value', time()+3600, '/', '', true, true);
Node.js (Express): res.cookie('name', 'value', { httpOnly: true, secure: true });

2. Secure 属性:

Secure 属性确保 Cookie 仅通过 HTTPS 发送。这可以防止 Cookie 在传输过程中被窃听。在生产环境中，始终应该使用 HTTPS，并设置 Secure 属性。

示例 (在服务器端设置):

PHP: setcookie('name', 'value', time()+3600, '/', '', true, true); (第七个参数为 secure)
Node.js (Express): res.cookie('name', 'value', { httpOnly: true, secure: true });

3. SameSite 属性:

SameSite 属性控制 Cookie 在跨站点请求中的发送方式。它有三个值：

Strict: Cookie 仅在同站请求中发送，例如用户直接导航到网站或点击同站链接。这提供了最强的保护，但可能会影响某些功能，例如 OAuth 登录。
Lax: Cookie 在同站请求和跨站 GET 请求（例如链接导航）中发送，但在跨站 POST 请求中不发送。这是更常用的选项，提供良好的平衡。
None: Cookie 在所有请求中都发送，包括跨站请求。如果需要跨站发送 Cookie，必须同时设置 Secure 属性。

选择哪个 SameSite 值取决于你的具体需求和安全风险评估。对于敏感信息，建议使用 Strict 或 Lax。

示例 (在服务器端设置):

PHP (PHP 7.3+): setcookie('name', 'value', ['samesite' => 'Strict', 'secure' => true, 'httponly' => true]);
Node.js (Express): res.cookie('name', 'value', { sameSite: 'lax', secure: true, httpOnly: true });

4. __Host- 前缀 (对于重要的 Cookie):

对于特别敏感的 Cookie，例如身份验证 Cookie，可以考虑使用 __Host- 前缀。这要求同时设置 Secure 和 Path=/ 属性，并且不能设置 Domain 属性。这提供了更强的保护，防止 Cookie 被子域名或其他恶意网站访问。

示例 (在服务器端设置): setcookie('__Host-name', 'value', ['samesite' => 'Strict', 'secure' => true, 'path' => '/', 'httponly' => true]);

5. CSRF (跨站请求伪造) 保护:

虽然不直接防止 Cookie 被盗，但 CSRF 保护可以防止攻击者利用用户的 Cookie 执行未经授权的操作。常见的 CSRF 防御措施包括：