cookie安全策略

• 签名防篡改
  通过对cookie的参数进行组合加密生成特定的密钥，在接收cookie时进行验证，防止cookie被人修改。

//签名密钥 例如
由md5（value+saveTime+maxTime+”自定义密钥“）生成
//服务端在收到cookie之后，进行密钥验证

• 私有变换
  对cookie参数进行加密,在服务端接收时，在对其进行解密
• http-only(防止XSS)
  如果在Cookie中设置了"HttpOnly"属性，那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息，这样能有效的防止XSS攻击。
• secure
  当设置为true时，表示创建的 Cookie 会被以安全的形式向服务器传输，也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证，如果是 HTTP 连接则不会传递该信息，所以不会被窃取到Cookie 的具体内容。
• same-site
  参考文章