Las cookies tienen atributos de seguridad que protegen contra XSS, CSRF y escuchas no autorizadas. Configurarlos correctamente es esencial.
HttpOnly
Previene el acceso a la cookie desde JavaScript (document.cookie). Bloquea robo de cookies via XSS. Esencial para cookies de sesión.
Secure
La cookie solo se envía en conexiones HTTPS. Nunca en HTTP. Protege contra ataques Man-in-the-Middle. Siempre activar.
SameSite
Strict: máxima protección CSRF. Lax: balance seguridad/usabilidad. None + Secure: cookies de terceros (menos seguro).
Prefijo __Host-
Cookies con prefijo __Host- aseguran que: solo se asignan desde HTTPS, no se pueden sobreescribir desde subdominios, y tienen Path=/.

