Flag de cookie Secure
O que é Flag de cookie Secure?
Flag de cookie SecureAtributo de cookie que diz ao navegador para enviá-lo apenas sobre HTTPS, evitando que trafegue em claro pela rede.
O atributo 'Secure' em 'Set-Cookie' restringe o cookie a conexões cifradas: o navegador nunca o transmite por HTTP sem cifra, eliminando o principal caminho de interceptação para tokens de sessão e outros valores sensíveis. É obrigatório sempre que 'SameSite=None' for usado e exigido pela maioria dos regimes modernos de privacidade para cookies de autenticação. 'Secure' deve ser combinado com 'HttpOnly', 'SameSite' e escopo adequado ('Domain', 'Path') para endurecimento completo, e o site precisa impor HTTPS ponta a ponta (HSTS, redirects) para que o flag faça diferença. Navegadores modernos rejeitam definir cookies 'Secure' via resposta HTTP em claro.
● Exemplos
- 01
'Set-Cookie: id=eyJ...; Secure; HttpOnly; SameSite=Lax; Path=/'.
- 02
Tokens de API entregues como 'Set-Cookie: api_token=...; Secure; SameSite=Strict; HttpOnly'.
● Perguntas frequentes
O que é Flag de cookie Secure?
Atributo de cookie que diz ao navegador para enviá-lo apenas sobre HTTPS, evitando que trafegue em claro pela rede. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa Flag de cookie Secure?
Atributo de cookie que diz ao navegador para enviá-lo apenas sobre HTTPS, evitando que trafegue em claro pela rede.
Como se defender contra Flag de cookie Secure?
As defesas contra Flag de cookie Secure costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Flag de cookie Secure?
Nomes alternativos comuns: Atributo Secure.