喻勇祥 3359cb8c01 安全: 为Cookie添加secure和sameSite安全标志 ...

问题描述:
- Cookie仅设置了httpOnly，缺少其他安全标志
- 未启用secure标志，HTTPS环境下cookie可能被劫持
- 缺少sameSite保护，存在CSRF风险

修复内容:
1. 添加secure标志，从环境变量COOKIE_SECURE控制
   - HTTPS环境设置为true
   - HTTP环境设置为false
2. 添加sameSite: 'lax'防止CSRF攻击
   - lax模式在导航时允许cookie
   - 阻止第三方站点的POST请求携带cookie
3. 保留httpOnly: true防止XSS攻击
4. 保留maxAge: 7天的过期时间

配置说明:
- .env中设置 COOKIE_SECURE=true (HTTPS环境)
- .env中设置 COOKIE_SECURE=false (HTTP环境)

影响范围: 用户登录认证cookie安全性

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude <noreply@anthropic.com>

2025-11-11 13:36:12 +08:00

62 KiB

Raw Blame History

View Raw