🍪
Segurança

Cookies, CSRF & SameSite

HttpOnly bloqueia JS. SameSite previne CSRF. Secure exige HTTPS. Defaults importantes.

Definição

Cookies têm flags de segurança críticas: HttpOnly (JS não pode ler — protege contra XSS roubando token), Secure (só transmite via HTTPS), SameSite (Strict/Lax/None, controla quando cookie é enviado em requests cross-site, previne CSRF).

🔴 Problema

Sem essas flags: XSS pode roubar token de auth. CSRF pode disparar ações em nome do user. Cookies vazam em HTTP plain.

Solução

Sempre HttpOnly+Secure+SameSite=Lax (ou Strict) para cookies de auth. Em Server Actions, Next.js já configura defaults seguros.

💡 Dica Senior

SameSite=None requer Secure=true. SameSite=Lax é o default moderno e bom para 95% dos casos. Strict pode quebrar fluxos OAuth.

Perguntas de Entrevista

🔗 Termos do dicionário
Next.js·Server ActionSegurança·XSSSegurança·CSRFSegurança·HttpOnlySegurança·SameSite
47/48