Атрибуты cookie: HttpOnly — JavaScript не может читать (защита от XSS кражи). Secure — только по HTTPS. SameSite: Strict (никаких кросс-сайт запросов), Lax (GET запросы разрешены, рекомендовано), None (для кросс-сайт, требует Secure). Path — ограничивает область действия. Domain — указывай минимально необходимый. MaxAge/Expires — не забывай TTL. В Express: res.cookie("token", value, { httpOnly: true, secure: process.env.NODE_ENV === "production", sameSite: "lax" }).

Как использовать supertest для тестирования Express?

Как настроить безопасные cookies в Node.js?