UD5工具箱
ConfigMap 生成器 - 从键值对快速生成 Kubernetes 资源
输入键值对,自动生成 Kubernetes ConfigMap YAML,支持文字和多行数据。
Cookie 安全属性配置器 - 快速生成Set-Cookie头
快速模板
Cookie 属性配置
生成的 Set-Cookie 头
已复制!
安全评估
4.0
安全等级:良好
属性速查
Secure | 仅通过HTTPS发送Cookie |
HttpOnly | 阻止JavaScript document.cookie访问 |
SameSite=Strict | 仅同站请求携带,最严格 |
SameSite=Lax | 允许顶级导航携带(推荐) |
SameSite=None | 跨站请求携带(需配合Secure) |
Partitioned | CHIPS:分区存储,隐私友好 |
__Secure-前缀 | 强制要求Secure属性 |
__Host-前缀 | 强制Secure+Path=/+无Domain |
常见问题与知识点
什么是Set-Cookie头?
Set-Cookie是服务器通过HTTP响应头发送给浏览器的指令,用于在客户端存储Cookie数据。浏览器接收到后会根据属性规则存储,并在后续请求中通过Cookie头自动回传。正确配置安全属性是防御XSS、CSRF等攻击的关键。
HttpOnly为什么重要?
开启HttpOnly后,JavaScript无法通过document.cookie读取该Cookie。这有效防止XSS攻击者窃取会话令牌。对于会话Cookie、认证Token等敏感数据,强烈建议始终开启HttpOnly。
SameSite各值的区别?
Strict:仅同站请求携带,点击外部链接进入时不会发送Cookie(最安全但可能影响体验)。Lax:同站请求+顶级导航(如点击链接)携带,平衡安全与体验(推荐默认值)。None:所有请求携带,必须同时设置Secure属性,适用于第三方Cookie场景。
什么是CHIPS(Partitioned)?
CHIPS(Cookies Having Independent Partitioned State)是Google提出的隐私沙盒方案。设置Partitioned属性后,Cookie按"顶级站点+嵌入站点"分区存储,不同顶级站点下的第三方Cookie相互隔离。需配合SameSite=None; Secure使用,是第三方Cookie的隐私友好替代方案。
__Secure-和__Host-前缀的作用?
这是Cookie名称的安全前缀约定。__Secure-前缀强制要求Cookie必须有Secure属性。__Host-前缀更严格:必须有Secure、Path=/,且不能设置Domain。浏览器会拒绝不符合要求的带前缀Cookie,提供额外安全保障。
Max-Age和Expires如何选择?
Max-Age使用相对秒数,不依赖客户端时钟,更精确可靠,推荐优先使用。Expires使用绝对日期时间,依赖客户端时钟准确性。如果同时设置,Max-Age优先级更高。设为0或负数可立即删除Cookie。
Domain设置的安全考量?
不设置Domain(最安全):Cookie仅适用于当前源,不包含子域名。设置Domain:Cookie适用于该域名及所有子域名(如设置example.com,则a.example.com也可访问)。从安全角度,除非确需跨子域共享,否则建议不设置Domain。
如何安全删除Cookie?
删除Cookie需要发送同名的Set-Cookie头,设置Max-Age=0或Expires为过去的时间,且Domain和Path必须与创建时完全一致。建议同时设置Secure和HttpOnly以匹配原Cookie的安全属性,否则删除可能不生效。
密码合规策略检查器 - 自定义规则
设置复杂度规则(长度、字符类型、字典排除),测试密码是否满足自定义安全策略。
公钥指纹查看器 - SSH Key可视化
粘贴SSH公钥,生成对应的OpenSSH randomart视觉指纹图和指纹字符串。
图片文字识别轻量版 - Tesseract.js
上传图片,利用Tesseract.js离线识别其中的英文或简单文字并复制。
2FA备份码生成并打印 - 卡片样式
生成一次性恢复码,排列成卡片样式可打印保存,用于账号恢复。
CSRF Token 验证模拟器 - 理解防护流程
模拟服务端生成与校验CSRF令牌的完整过程,展示隐藏在表单与Session中的同步模式。
页面密码锁 - 输入密码才显示内容
为嵌入的机密内容设置前端密码,只有输入正确密码才显示(需结合JS,不绝对安全)。
一次性密码本生成器 - 产生随机密钥流
生成与明文等长的真随机密钥,并演示异或加密解密的一次性密码本原理。
安全问题生成器 - 随机个性化问题
从内置题库中随机组合个性化安全问题,用于账户恢复或身份验证设置。
SSL证书解析器 - 查看证书请求文件内容
上传或粘贴证书签名请求(CSR)或公开证书内容,提取CN, SAN, 有效期等。
Hashcash工作量证明生成 - 反垃圾邮件
为了演示生成一个简单的Hashcash stamp,需要消耗CPU计算,用于反垃圾机制展示。
内容安全策略生成器 - CSP HTTP头在线定制
图形化配置Content-Security-Policy指令,生成安全策略头,防御XSS和代码注入。
JSON Web Key 生成器 - 在线创建JWK公私钥
生成RSA/EC对称密钥的JWK表示,支持复制导出,用于OAuth2/JWT的密钥配置。
谍报密码牌生成器 - 自定义单词卡牌版图
生成可用于谍报密码游戏的5x5单词网格,支持自定义主题词库。
JSON Schema 假数据生成器 - 按定义创建莫克数据
定义JSON Schema结构,自动填充符合类型与格式的随机数据,支持导出大文件用于压力测试。
文本数据转饼图 - 分类列表直接出图
粘贴以逗号分隔的标签和数值,即刻生成饼图并自定义颜色。
浏览器隐私自检表 - 查看当前泄露信息
检测浏览器指纹、IP信息、WebRTC泄露等,列出潜在隐私风险并提供关闭建议。
SSL证书详情查看器 - 输入域名获取证书链
通过公共API获取指定域名的证书信息,展示颁发者、有效期及SAN。
Badging API 徽章模拟器 - 设置App图标数字角标
在PWA环境中设置和清除应用图标上的数字角标,演示Badging API的简单用法。
图片隐写写入器 - LSB方法嵌入文本
将秘密文本的比特位替换到图片像素的最低有效位中,生成含密图片。
NanoID在线生成器 - 紧凑唯一ID生成
生成更短、更安全的NanoID随机字符串,可自定义长度和字符集,替代UUID的轻量方案。
JSON 试题生成器 - 自定义题库随机组卷
上传 JSON 格式题库,随机抽取指定数量题目生成在线测验,自动评分和解析。
自定义数据工厂 - 配置模版批量生成JSON
定义字段模版和数量,批量生成仿真JSON数据,支持中文姓名、邮箱、电话等。
语音合成音色浏览器 - 列出所有可用语音
获取设备上所有可用的语音合成音色,试听并比较不同语言和嗓音。
Emoji密码生成器 - 使用表情作为密码元素
生成包含指定数量随机Emoji的密码短语,新奇有趣,增加猜测难度。
日历事件生成器 - 下载.ics文件
填写事件标题、时间、地点,生成标准的.ics日历文件,可添加到日历应用。
动态通知徽章生成器 - 数字抖动/红点特效
创建带有弹性动画的通知数字徽章或红点,生成对应的HTML/CSS代码。
简单验证码生成器 - Canvas随机字符图片
生成简单数字或字母验证码图片,带干扰线和噪点,适合前端原型测试,不依赖服务端。
强密码生成器加强版 - 可发音/易记/短语组合
生成由随机单词组成的口令短语,或自定义字符集强密码,实时显示强度。
Diceware口令生成器 - 掷骰子选词
虚拟掷5次骰子,根据官方Diceware词表生成强随机且易记忆的通行短语。