安全: 为Cookie添加secure和sameSite安全标志

问题描述:
- Cookie仅设置了httpOnly，缺少其他安全标志
- 未启用secure标志，HTTPS环境下cookie可能被劫持
- 缺少sameSite保护，存在CSRF风险

修复内容:
1. 添加secure标志，从环境变量COOKIE_SECURE控制
   - HTTPS环境设置为true
   - HTTP环境设置为false
2. 添加sameSite: 'lax'防止CSRF攻击
   - lax模式在导航时允许cookie
   - 阻止第三方站点的POST请求携带cookie
3. 保留httpOnly: true防止XSS攻击
4. 保留maxAge: 7天的过期时间

配置说明:
- .env中设置 COOKIE_SECURE=true (HTTPS环境)
- .env中设置 COOKIE_SECURE=false (HTTP环境)

影响范围: 用户登录认证cookie安全性

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude <noreply@anthropic.com>

backend/server.js

@@ -199,6 +199,8 @@ app.post('/api/login',
 
       res.cookie('token', token, {
         httpOnly: true,
+        secure: process.env.COOKIE_SECURE === 'true', // HTTPS环境下启用
+        sameSite: 'lax', // 防止CSRF攻击
         maxAge: 7 * 24 * 60 * 60 * 1000 // 7天
       });