Secure属性【Secure Cookie】

概要

CookieはWebコンテンツの伝送に用いられるHTTP（Hypertext Transfer Protocol）に用意された仕組みの一つで、サーバからの応答時に任意の文字列データを付与し、クライアントがこれを永続的に保存してサーバへのリクエスト時に毎回送信する。サーバがクライアントを識別したり、クライアント側で必要な情報を保管することができる。

Secure属性はサーバがCookieを発行する際に指定することができる属性の一つで、クライアントからはHTTPS接続時のみCookieを送るよう要請する。HTTPレスポンスの「Set-Cookie:」ヘッダで指定することができ、Cookie文字列本体や他の属性と「;」（セミコロン）で区切って「Secure」あるいは「secure」と指定する。

HTTPS接続はURLの先頭が「https://」になっている場合に適用され、HTTP通信全体をSSL（Secure Socket Layer）および後継のTLS（Transport Layer Security）で暗号化して保護する。通信経路上の機器がHTTPメッセージを覗き見ることができないようにすることができ、Cookieを盗み見られたりすり替えられる中間者攻撃などを防ぐことができる。