Файлы cookie, установленные с ключевым словом «Secure», будут отправляться браузером только при подключении безопасным способом (HTTPS). Кроме того, нет никаких различий - если отсутствует «безопасный», cookie может быть отправлен через незащищенное соединение.
Другими словами, файлы cookie, которые вы хотите защитить, должны использовать ключевое слово secure, и вы должны отправлять их с сервера в браузер, только когда пользователь подключается через HTTPS.
- HTTP : Cookie с «Безопасным» будет возвращен только при HTTPS соединениях (бессмысленно, см. Примечание ниже)
- HTTPS : Cookie с «Безопасным» будет возвращен только при HTTPS соединениях
- HTTP : Cookie без "Secure" будет возвращено при HTTP или HTTPS соединениях
- HTTPS : Cookie без «Secure» будет возвращено при HTTP или HTTPS (может утечка защищенной информации)
Ссылка: RFC 2109
См. 4.2.2 (стр. 4), 4.3.1
Примечание : больше нельзя устанавливать «безопасные» cookie-файлы вместо незащищенных (например, HTTP) источников в Firefox и Chrome после того, как они внедрили спецификацию Strict Secure Cookies .