Флаг куки Secure
Что такое Флаг куки Secure?
Флаг куки SecureАтрибут куки, требующий, чтобы браузер отправлял её только по HTTPS, исключая передачу в открытом виде по сети.
Атрибут 'Secure' в 'Set-Cookie' ограничивает куку зашифрованными соединениями: браузер не передаст её по обычному HTTP, исключая самый распространённый путь перехвата сессионных токенов и других чувствительных значений. Он обязателен при 'SameSite=None' и требуется большинством современных режимов приватности для аутентификационных кук. 'Secure' должен сочетаться с 'HttpOnly', 'SameSite' и подходящим scope ('Domain', 'Path'); сайту необходимо принудительно использовать HTTPS сквозным образом (HSTS, редиректы), иначе флаг бесполезен. Современные браузеры отказываются устанавливать 'Secure'-куку через ответ по открытому HTTP.
● Примеры
- 01
'Set-Cookie: id=eyJ...; Secure; HttpOnly; SameSite=Lax; Path=/'.
- 02
API-токены в формате 'Set-Cookie: api_token=...; Secure; SameSite=Strict; HttpOnly'.
● Частые вопросы
Что такое Флаг куки Secure?
Атрибут куки, требующий, чтобы браузер отправлял её только по HTTPS, исключая передачу в открытом виде по сети. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Флаг куки Secure?
Атрибут куки, требующий, чтобы браузер отправлял её только по HTTPS, исключая передачу в открытом виде по сети.
Как защититься от Флаг куки Secure?
Защита от Флаг куки Secure обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Флаг куки Secure?
Распространённые альтернативные названия: Флаг Secure.