回答:
クライアントはこれを暗号化された接続に対してのみ設定し、これはRFC 6265で定義されています。
Secure属性は、Cookieのスコープを「セキュア」チャネルに限定します(「セキュア」はユーザーエージェントによって定義されます)。CookieにSecure属性がある場合、ユーザーエージェントは、要求が安全なチャネル(通常はHTTP over Transport Layer Security(TLS)[RFC2818])経由で送信される場合にのみ、HTTP要求にCookieを含めます。
Secure属性は、アクティブなネットワーク攻撃者からCookieを保護するのに役立つように見えますが、Cookieの機密性のみを保護します。アクティブなネットワーク攻撃者は、安全でないチャネルから安全なCookieを上書きして、整合性を破壊する可能性があります(詳細については、セクション8.6を参照)。
この件に関するもう1つの言葉:
secure
あなたのウェブサイトexample.com
が完全にhttps なので省略は十分ではありません。
ユーザーが明示的にに到達している場合、ユーザーはにhttp://example.com
リダイレクトされますhttps://example.com
が、それではすでに遅すぎます。最初のリクエストにはcookieが含まれていました。
secure
か?