Secure-Cookie-Flag
Was ist Secure-Cookie-Flag?
Secure-Cookie-FlagCookie-Attribut, das den Browser anweist, das Cookie nur über HTTPS zu senden und so Klartext-Übertragung im Netzwerk zu verhindern.
Das Attribut 'Secure' im 'Set-Cookie'-Header beschränkt ein Cookie auf verschlüsselte Verbindungen: Der Browser überträgt es niemals über unverschlüsseltes HTTP, womit der häufigste Abgreifpfad für Session-Token und andere sensible Werte entfällt. Es ist Pflicht, sobald 'SameSite=None' verwendet wird, und in den meisten modernen Datenschutzregelwerken für Authentifizierungs-Cookies vorgeschrieben. Vollständig härtet 'Secure' nur in Kombination mit 'HttpOnly', 'SameSite' und einem passenden Scope ('Domain', 'Path'); zudem muss die Site HTTPS Ende-zu-Ende erzwingen (HSTS, Redirects), damit der Flag wirksam ist. Moderne Browser lehnen das Setzen eines 'Secure'-Cookies über eine Klartext-HTTP-Antwort ab.
● Beispiele
- 01
'Set-Cookie: id=eyJ...; Secure; HttpOnly; SameSite=Lax; Path=/'.
- 02
API-Token als 'Set-Cookie: api_token=...; Secure; SameSite=Strict; HttpOnly'.
● Häufige Fragen
Was ist Secure-Cookie-Flag?
Cookie-Attribut, das den Browser anweist, das Cookie nur über HTTPS zu senden und so Klartext-Übertragung im Netzwerk zu verhindern. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet Secure-Cookie-Flag?
Cookie-Attribut, das den Browser anweist, das Cookie nur über HTTPS zu senden und so Klartext-Übertragung im Netzwerk zu verhindern.
Wie schützt man sich gegen Secure-Cookie-Flag?
Schutzmaßnahmen gegen Secure-Cookie-Flag kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Secure-Cookie-Flag?
Übliche alternative Bezeichnungen: Secure-Flag.