Flag de cookie Secure
¿Qué es Flag de cookie Secure?
Flag de cookie SecureAtributo de cookie que indica al navegador enviarla únicamente por HTTPS, evitando que viaje en claro por la red.
El atributo «Secure» en «Set-Cookie» restringe la cookie a conexiones cifradas: el navegador no la transmite por HTTP sin cifrar, eliminando la principal vía de interceptación de tokens de sesión y otros valores sensibles. Es obligatorio cuando se usa «SameSite=None» y lo exigen la mayoría de regímenes de privacidad modernos para cookies de autenticación. «Secure» debe combinarse con «HttpOnly», «SameSite» y un ámbito adecuado («Domain», «Path») para un endurecimiento completo, y el sitio debe forzar HTTPS de extremo a extremo (HSTS, redirecciones) para que el flag tenga sentido. Los navegadores modernos rechazan establecer cookies «Secure» en respuestas HTTP no cifradas.
● Ejemplos
- 01
«Set-Cookie: id=eyJ...; Secure; HttpOnly; SameSite=Lax; Path=/».
- 02
Tokens de API entregados como «Set-Cookie: api_token=...; Secure; SameSite=Strict; HttpOnly».
● Preguntas frecuentes
¿Qué es Flag de cookie Secure?
Atributo de cookie que indica al navegador enviarla únicamente por HTTPS, evitando que viaje en claro por la red. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Flag de cookie Secure?
Atributo de cookie que indica al navegador enviarla únicamente por HTTPS, evitando que viaje en claro por la red.
¿Cómo defenderse de Flag de cookie Secure?
Las defensas contra Flag de cookie Secure combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Flag de cookie Secure?
Nombres alternativos comunes: Atributo Secure.