Cookie如何设置HTTPOnly和Secure 以防止XSS跨站脚本攻击

设置HttpOnly和Secure标志于Cookie中是增强Web应用安全性的重要措施。这两个标志帮助防止跨站脚本攻击（XSS）和中间人攻击（MitM）。下面是关于如何设置这些标志的具体步骤：

PHP: 在发送cookie时使用setcookie()函数，并添加HttpOnly和Secure参数。

setcookie('name', 'value', [
    'expires' => time() + 3600, // 过期时间
    'path' => '/', // 可访问该cookie的路径
    'domain' => '', // 可选，指定域
    'secure' => true, // 仅通过HTTPS传输
    'httponly' => true, // JavaScript无法访问
    'samesite' => 'Lax' // 可选，SameSite属性
]);

 

ASP.NET Core: 在配置cookie时，可以在Startup.cs文件中的ConfigureServices方法内进行如下配置：

services.ConfigureApplicationCookie(options =>
{
    options.Cookie.HttpOnly = true;
    options.Cookie.SecurePolicy = CookieSecurePolicy.Always; // 强制HTTPS
});