正确设置 cookie 属性

• 设置 HttpOnly 属性：将 cookie 的 HttpOnly 属性设置为 true，可防止通过 JavaScript 等脚本语言访问和修改 cookie，能有效防范跨站脚本攻击（XSS）窃取 cookie 中的敏感信息。如在 Java 中使用response.addCookie(cookie)方法添加 cookie 前，可通过cookie.setHttpOnly(true)设置该属性。
• 设置 Secure 属性：若网站使用 HTTPS 协议，应将 cookie 的 Secure 属性设置为 true，确保仅在加密的 HTTPS 连接下才发送 cookie，防止在传输过程中被拦截和窃取。以 Python 的 Flask 框架为例，可在设置 cookie 时通过response.set_cookie('name', 'value', secure=True)进行设置。
• 设置 SameSite 属性：通过设置 SameSite 属性来限制第三方网站对 cookie 的访问。SameSite=Strict最为严格，完全禁止第三方网站携带 cookie；SameSite=Lax相对宽松，允许部分安全的跨站请求携带 cookie；SameSite=None则允许跨站请求携带 cookie，但需同时设置 Secure 属性为 true。如在 PHP 中，可通过setcookie('name', 'value', ['samesite' => 'Strict'])设置。

合理选择存储内容

• 避免存储敏感信息：不应在 cookie 中存储密码、银行卡号等高度敏感信息，尽量只存储必要的、非敏感的用户信息或标识，降低因 cookie 泄露导致的安全风险。
• 对存储数据加密：若必须在 cookie 中存储一些相对敏感的数据，如用户登录凭证等，应对数据进行加密处理后再存储。使用加密算法对数据加密，服务器端在读取 cookie 时再进行解密。如可使用 AES 等对称加密算法，Java 中可利用Cipher类实现 AES 加密和解密。

服务器端防护

• 验证和过滤 cookie 数据：在服务器端接收和处理 cookie 数据时，要对其进行严格的验证和过滤，防止恶意用户通过篡改 cookie 数据进行攻击。如检查 cookie 中的数据格式是否正确、取值是否在合理范围内等，使用正则表达式对 cookie 中的数据进行格式验证。
• 定期更新和轮换 cookie：定期更新用户的 cookie，如用户登录后，定期为其生成新的 session ID 并更新对应的 cookie，降低因 cookie 长期不变被破解或冒用的风险。

用户端注意事项

• 谨慎使用公共网络：用户在使用公共无线网络时，避免访问涉及敏感信息的网站，以防 cookie 被他人窃取。
• 定期清理浏览器 cookie：用户应定期清理浏览器缓存和 cookie，尤其是在使用公共设备或访问不可信网站后，防止本地存储的 cookie 被恶意利用。