「セキュア」キーワードで設定されたCookieは、安全な手段(HTTPS)で接続する場合にのみブラウザによって送信されます。それとは別に、区別はありません-「セキュア」が存在しない場合、クッキーは安全でない接続を介して送信されます。
つまり、コンテンツを保護するcookieはsecureキーワードを使用し、ユーザーがHTTPS経由で接続する場合にのみサーバーからブラウザーに送信する必要があります。
- [〜#〜] http [〜#〜]:Cookiewith "Secure"は、[〜#〜] https [〜#〜]接続でのみ返されます(行うことは意味がありません。以下の注を参照)
- [〜#〜] https [〜#〜]:Cookiewith "Secure"は[〜#〜] https [〜#〜]接続でのみ返されます
- [〜#〜] http [〜#〜]:Cookiewithout "Secure"は[〜#〜] http [〜#〜]または[〜#〜で返されます] https [〜#〜]接続
- [〜#〜] https [〜#〜]:Cookie「セキュア」なしは[〜#〜] http [〜#〜]または[〜#〜で返されます] https [〜#〜]接続(安全な情報が漏洩する可能性があります)
参照: RFC 2109 4.2.2(4ページ)、4.3.1を参照
注: Strict Secure Cookies仕様を実装した後、FirefoxおよびChromeの安全でない(たとえばHTTP)オリジンに対して「安全な」Cookieを設定することはできなくなりました 。