摘要： 在 Web 应用中，Cookie 很容易成为安全问题的一部分。从以往的经验来看，对 Cookie 在开发过程中的使用，很多开发团队并没有形成共识或者一定的规范，这也使得很多应用中的 Cookie 成为潜在的易受攻击点。在给 Web 应用做安全架构评审（Security architecture review）的时候，我通常会问设计人员以下几个问题：你的应用中，有使用 JavaScript 来操作客户端 Cookie 吗？如果有，那么是否必须使用 JavaScript 才能完成此应用场景？如果没有，你的 Cookie 允许 JavaScript 来访问吗？你的网站（可能包含多个 Web 应用）中 阅读全文