237899745/vue-driven-cloud-storage
1
0
Fork 0
Code Issues Pull Requests 1 Actions Packages Projects Releases Wiki Activity
Files
3359cb8c019a36443b7bcaf9a151a59bae78b592
vue-driven-cloud-storage/backend
History
喻勇祥 3359cb8c01 安全: 为Cookie添加secure和sameSite安全标志 
问题描述:
- Cookie仅设置了httpOnly,缺少其他安全标志
- 未启用secure标志,HTTPS环境下cookie可能被劫持
- 缺少sameSite保护,存在CSRF风险

修复内容:
1. 添加secure标志,从环境变量COOKIE_SECURE控制
   - HTTPS环境设置为true
   - HTTP环境设置为false
2. 添加sameSite: 'lax'防止CSRF攻击
   - lax模式在导航时允许cookie
   - 阻止第三方站点的POST请求携带cookie
3. 保留httpOnly: true防止XSS攻击
4. 保留maxAge: 7天的过期时间

配置说明:
- .env中设置 COOKIE_SECURE=true (HTTPS环境)
- .env中设置 COOKIE_SECURE=false (HTTP环境)

影响范围: 用户登录认证cookie安全性

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude <noreply@anthropic.com>
2025-11-11 13:36:12 +08:00
..
.env.example
安全: 修复JWT密钥使用默认值的安全隐患
2025-11-11 13:17:57 +08:00
auth.js
安全: 修复JWT密钥使用默认值的安全隐患
2025-11-11 13:17:57 +08:00
backup.bat
Initial commit - 玩玩云文件管理系统 v1.0.0
2025-11-10 21:50:16 +08:00
database.js
修复: 将默认上传限制从100MB提升到10GB
2025-11-11 01:57:06 +08:00
Dockerfile
Initial commit - 玩玩云文件管理系统 v1.0.0
2025-11-10 21:50:16 +08:00
package-lock.json
Initial commit - 玩玩云文件管理系统 v1.0.0
2025-11-10 21:50:16 +08:00
package.json
v1.1.2: 修复依赖安装问题
2025-11-10 23:35:33 +08:00
server.js
安全: 为Cookie添加secure和sameSite安全标志
2025-11-11 13:36:12 +08:00
start.bat
Initial commit - 玩玩云文件管理系统 v1.0.0
2025-11-10 21:50:16 +08:00
storage.js
Initial commit - 玩玩云文件管理系统 v1.0.0
2025-11-10 21:50:16 +08:00