狠狠色丁香婷婷综合尤物/久久精品综合一区二区三区/中国有色金属学报/国产日韩欧美在线观看 - 国产一区二区三区四区五区tv

1. 如何實現安全的 HttpOnly 和 Secure Cookie？ ?

?問題?：防止 XSS 攻擊竊取 Cookie，同時確保僅通過 HTTPS 傳輸。
?解決方案?：

• ?服務端設置?（Node.js 示例）：

  res.setHeader('Set-Cookie', [
    'token=abc123; HttpOnly; Secure; SameSite=Strict',
    'theme=dark; HttpOnly; Secure; Max-Age=3600'
  ]);
  

  • HttpOnly：禁止 JavaScript 訪問 Cookie。
  • Secure：僅允許 HTTPS 傳輸。
  • SameSite=Strict：阻止 CSRF 攻擊。

?2. 跨域請求如何攜帶 Cookie？ ?

?問題?：CORS 請求默認不發送 Cookie，需顯式配置。
?解決方案?：

• ?前端配置?（Axios）：

  axios.get('https://api.example.com/data', {
    withCredentials: true  // 允許攜帶 Cookie
  });
  

• ?服務端配置?（Nginx）：

  add_header 'Access-Control-Allow-Origin' 'https://your-app.com';
  add_header 'Access-Control-Allow-Credentials' 'true';
  

  ?注意?：Access-Control-Allow-Origin 不能為 *。

?3. 如何實現 Cookie 的自動續期？ ?

?問題?：用戶長時間未操作但保持登錄狀態。
?解決方案?：

• ?滑動過期時間?（JWT 示例）：

  function refreshToken(oldToken) {
    const newExpiry = Date.now() + 30 * 60 * 1000; // 延長 30 分鐘
    return jwt.sign({ ...jwt.decode(oldToken), exp: newExpiry }, secret);
  }
  

  • 每次請求驗證 Cookie 后，重置過期時間。

?4. Cookie 與 LocalStorage 如何選擇？ ?

?對比?：

?5. 如何防御 Cookie 劫持？ ?

?解決方案?：

• ?SameSite 屬性?：

  httpCopy Code
  Set-Cookie: sessionId=123; SameSite=Lax; Secure
  

  • Lax：允許同站和導航跳轉請求攜帶 Cookie。
  • Strict：完全禁止跨站攜帶7。

• ?綁定 User-Agent/IP?：

  // 服務端驗證 Cookie 時檢查 User-Agent
  if (req.cookies.token && req.headers['user-agent'] === storedUA) {
    // 允許訪問
  }
  

  ?注意?：IP 綁定可能誤傷動態 IP 用戶。

?6. 如何實現分布式系統的 Session 共享？ ?

?問題?：多臺服務器需共享用戶會話狀態。
?解決方案?：

• ?Redis 集中存儲?（Node.js + Redis）：

  const session = require('express-session');
  const RedisStore = require('connect-redis')(session);
  app.use(session({
    store: new RedisStore({ host: 'redis-server' }),
    secret: 'your-secret',
    resave: false
  }));
  

  • 所有服務器從 Redis 讀寫 Session。

?轉自https://juejin.cn/post/7503390744385519627