PHP Cookie 安全实战：HttpOnly、SameSite 和 Secure 这样配置

很多 PHP 项目都会把登录态放在 Cookie 里。功能跑通并不代表安全，真正上线时还要关心脚本能不能读取 Cookie、跨站请求会不会自动带上 Cookie、明文网络里会不会泄露 Cookie。

本文用登录态 Cookie 的下发和校验场景，讲清三个常用安全属性：HttpOnly、SameSite、Secure。它们不是万能防线，但能明显降低 XSS、跨站请求和明文传输带来的风险。

适合人群

本文适合正在维护 PHP 登录、后台管理、会员中心、接口鉴权的开发者。你需要了解 Cookie 的基本概念，知道服务端响应头可以让浏览器保存 Cookie。

目录

• 登录态 Cookie 需要防什么
• 用 setcookie 下发安全 Cookie
• 三个关键属性分别解决什么问题
• 退出登录和过期时间怎么处理
• 常见坑位和上线检查
• 总结

登录态 Cookie 需要防什么

一个典型登录流程是：用户提交账号密码，服务端校验成功后生成会话标识，然后通过响应头写入 Cookie。之后浏览器访问同站接口时，会自动携带这个 Cookie，服务端据此识别用户身份。

风险也来自这里：如果前端脚本能直接读取登录 Cookie，XSS 一旦出现就可能被窃取；如果跨站请求自动带上 Cookie，攻击页面可能诱导用户发起危险操作；如果没有 HTTPS，网络中间环节也可能看到敏感 Cookie。

用 setcookie 下发安全 Cookie

PHP 7.3 之后，setcookie 支持数组形式的配置，推荐把登录态 Cookie 的属性集中写清楚。

 time() + 1800,
    'path' => '/',
    'domain' => 'www.example.com',
    'secure' => true,
    'httponly' => true,
    'samesite' => 'Lax',
]);

echo 'login ok';

这里的 sid 只是示例。真实项目里，会话标识应该和服务端会话表、缓存或框架 Session 机制绑定，并且登录成功后要重新生成，避免使用登录前已经存在的旧标识。

三个关键属性分别解决什么问题

1. HttpOnly：限制脚本读取

设置 HttpOnly 后，浏览器仍会按规则携带 Cookie，但前端脚本不能通过 document.cookie 直接读取它。它不能消除 XSS 本身，但能降低登录态被脚本直接拿走的风险。

2. SameSite：限制跨站携带

SameSite 用来控制跨站请求是否携带 Cookie。常见取值是 Lax、Strict、None。大多数后台和普通站点可以先使用 Lax；如果必须跨站嵌入或跨站接口调用，才考虑 None，并且需要配合 Secure。

3. Secure：只在 HTTPS 下传输

Secure 表示浏览器只会在 HTTPS 请求中发送这个 Cookie。只要是登录态、后台权限、支付相关 Cookie，都应该在 HTTPS 站点上启用 Secure。

退出登录和过期时间怎么处理

退出登录时，服务端应同时做两件事：服务端会话失效，浏览器 Cookie 过期。只删浏览器 Cookie 不够，因为旧会话标识可能还存在于服务端；只删服务端会话也不够，因为浏览器仍可能继续带旧 Cookie 请求。

 time() - 3600,
    'path' => '/',
    'domain' => 'www.example.com',
    'secure' => true,
    'httponly' => true,
    'samesite' => 'Lax',
]);

echo 'logout ok';

过期时间不要设置得过长。后台系统可以设置较短有效期，并配合用户活跃续期；普通用户站点可以结合风险等级调整，例如敏感操作前再次确认身份。

常见坑位和上线检查

1. SameSite=None 忘记 Secure

现代浏览器通常要求 SameSite=None 必须同时设置 Secure。否则 Cookie 可能不会按预期保存或发送。

2. domain 设置过宽

domain 不要随手设置成顶级域。能限定到具体子域就限定到具体子域，减少其他子站点影响登录态 Cookie 的范围。

3. 本地调试和线上 HTTPS 差异

Secure Cookie 在普通 HTTP 本地环境下不会发送。可以用本地 HTTPS、测试域名或环境开关区分调试配置，但线上登录态必须走 HTTPS。

4. 只配置 Cookie，不修 XSS 和 CSRF

Cookie 属性是防护的一部分，不是全部。页面输出仍要做转义，表单和敏感接口仍应有 CSRF 令牌、权限校验和操作审计。

总结

PHP 登录态 Cookie 的安全配置可以从三个属性开始：HttpOnly 限制脚本读取，SameSite 限制跨站携带，Secure 限制 HTTPS 传输。配合合理的 domain、path、过期时间、退出登录失效和服务端会话校验，才能让登录态既可用又更稳。