cookie

cookie安全

• secure https
• httpOnly 预防xss document.cookie ×
• sameSite 预防csrf
  strict：cookie只发送给它的来源站点
  lax：默认
• cookieName前缀
  _Host-(与secure属性一起设置，Https)
  _Secure-

cookie的字段

• max-age > expires 设置其中任意一个就是持久化cookie
• domain
• path
• secure
• httpOnly
• SameSite