Drapeau de cookie Secure
Qu'est-ce que Drapeau de cookie Secure ?
Drapeau de cookie SecureAttribut de cookie qui indique au navigateur de ne l'envoyer qu'en HTTPS, empêchant son passage en clair sur le réseau.
L'attribut « Secure » dans un en-tête « Set-Cookie » restreint le cookie aux connexions chiffrées : le navigateur ne le transmettra jamais en HTTP non chiffré, supprimant la principale voie d'interception des jetons de session et autres valeurs sensibles. Il est obligatoire dès que « SameSite=None » est utilisé et exigé par la plupart des régimes de protection des données modernes pour les cookies d'authentification. « Secure » doit être combiné à « HttpOnly », « SameSite » et un périmètre adapté (« Domain », « Path »), et le site doit imposer HTTPS de bout en bout (HSTS, redirections) pour que le drapeau ait du sens. Les navigateurs modernes refusent de poser un cookie « Secure » via une réponse HTTP non chiffrée.
● Exemples
- 01
« Set-Cookie: id=eyJ...; Secure; HttpOnly; SameSite=Lax; Path=/ ».
- 02
Jetons d'API délivrés via « Set-Cookie: api_token=...; Secure; SameSite=Strict; HttpOnly ».
● Questions fréquentes
Qu'est-ce que Drapeau de cookie Secure ?
Attribut de cookie qui indique au navigateur de ne l'envoyer qu'en HTTPS, empêchant son passage en clair sur le réseau. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie Drapeau de cookie Secure ?
Attribut de cookie qui indique au navigateur de ne l'envoyer qu'en HTTPS, empêchant son passage en clair sur le réseau.
Comment se défendre contre Drapeau de cookie Secure ?
Les défenses contre Drapeau de cookie Secure combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Drapeau de cookie Secure ?
Noms alternatifs courants : Attribut Secure.