FE Interview Hub
瀏覽器原理中階

cookie 有哪些屬性?怎麼禁止 js 訪問 cookie?

AI 練習作答
屬性 說明
Name=Value Cookie 的名稱與值
Domain 指定哪些域名可以存取此 Cookie
Path 指定哪些路徑可以存取此 Cookie
Expires / Max-Age 設定 Cookie 的過期時間
Secure 只在 HTTPS 連線下傳送
HttpOnly 禁止 JavaScript 透過 document.cookie 存取
SameSite 控制跨站請求時是否傳送 Cookie(StrictLaxNone

如何禁止 JS 訪問 Cookie?

設定 HttpOnly 屬性即可防止 JavaScript 讀取 Cookie:

Set-Cookie: sessionId=abc123; HttpOnly; Secure; SameSite=Strict

加上 HttpOnly 後,document.cookie 將無法讀取該 Cookie,可有效防止 XSS 攻擊竊取使用者的 session token。

SameSite 屬性說明

  • Strict:完全禁止跨站傳送,安全性最高
  • Lax(預設):允許從外部連結導向時傳送(GET 請求)
  • None:允許所有跨站傳送,但必須搭配 Secure

✦ AI 模擬面試

輸入你的答案,AI 即時分析精準度與改進空間

登入後即可使用 AI 評分

← 上一題

請解釋 HTTP 和 HTTPS,兩者有什麼差別?

下一題 →

什麼是 CDN?