безопасный атрибут для файлов cookie, созданных в JavaScript

Question

Когда куки создаются исключительно на стороне клиента в javascript путем установки document.cookie (), как на них влияет атрибут «secure»?

В частности:

• отправляются ли клиентские файлы cookie на сервер в заголовке "Cookie:" последующих запросов?

• Может ли созданный клиентом быть изменен последующими заголовками Set-Cookie с сервера?

• в случае двух предыдущих вопросов, при условии, что ответ положительный, предотвращает ли это атрибут secure, если соединение с сервером не HTTPS?

• если страница не , загруженная по HTTPS, содержит javascript, который пытается создать файлы cookie с атрибутом secure, будут ли разрешены даже файлы cookie для создания?

• все ли основные браузеры обрабатывают все это последовательно?

Answer 1

1. Да, cookie-файлы с установленным JavaScript (устанавливаются через document.cookie =) отправляются на сервер в заголовке запроса Cookie.
2. Да, клиентские cookie-файлы могут быть перезаписаны заголовками Set-Cookie, поставляемыми сервером.
3. Да, должно.
4. Не должно.
5. Насколько я знаю, да, но это должно быть легко проверить.