Réponses:
Le client définit ceci uniquement pour les connexions cryptées et ceci est défini dans la RFC 6265 :
L'attribut Secure limite la portée du cookie aux canaux «sécurisés» (où «sécurisé» est défini par l'agent utilisateur). Lorsqu'un cookie a l'attribut Secure, l'agent utilisateur inclura le cookie dans une requête HTTP uniquement si la requête est transmise sur un canal sécurisé (généralement HTTP sur Transport Layer Security (TLS) [RFC2818]).
Bien qu'apparemment utile pour protéger les cookies contre les attaquants actifs du réseau, l'attribut Secure protège uniquement la confidentialité du cookie. Un attaquant actif du réseau peut écraser les cookies sécurisés d'un canal non sécurisé, perturbant leur intégrité (voir la section 8.6 pour plus de détails).
Juste un autre mot sur le sujet:
Omettre secure
parce que votre site Web example.com
est entièrement https ne suffit pas.
Si votre utilisateur atteint explicitement http://example.com
, il sera redirigé vers https://example.com
mais c'est déjà trop tard; la première demande contenait le cookie.
secure
?