Безопасные куки

Куки с сессией — частая цель атак, поэтому важны их атрибуты:

• Secure — кука передаётся только по HTTPS.
• HttpOnly — кука недоступна из JavaScript, что снижает риск кражи через XSS.
• SameSite — ограничивает отправку куки на кросс-доменные запросы, защищая от CSRF.

Как применять: ставьте все три атрибута на сессионные куки, выбирайте SameSite=Lax или Strict по сценарию, задавайте разумный срок жизни.

// Установка защищённой cookie на сервере (Express)
res.cookie("session", token, {
  secure: true,
  httpOnly: true,
  sameSite: "lax",
  maxAge: 3600000
});