仕様書

意味

[13] Secure 属性はクッキーの適用範囲が 「保安」通信路に制限されることを表します >>12。

値

[2] この属性は値をとりません。 存在するかしないかでブール値を表します。

 secure-av         = "Secure"

文脈

[22] セッションクッキーその他セキュリティー的に重要なクッキーでは、 Secure 属性を指定するべきです >>21。

[28] HTTPS の利用が当然となった現在となっては、 Secure 属性を付ける必要があるかないか判断するのは意味がありません。 安全側に倒すということで、 いっそすべてのクッキーに Secure 属性を付けてしまってもいいかもしれません。

処理

[19] 属性値はあっても無視されます >>18。

[3] クッキーは HTTP 応答で鯖に、DOM 属性 document.cookie でスクリプトに提供されます。

[14] HTTP に関しては、 安全な通信路上を要求が送信される場合にのみ当該クッキーを含めることになっています。 具体的には TLS や SSL を使う (HTTPS の) 場合がこれに含まれ >>4, >>12、 単体の HTTP を TCP 上で用いる場合は含まれません。

[15] DOM については、 HTTPS によって取得された文書が安全とみなされ、 単体のHTTP は安全ではないとみなされます。

[5] Secure 属性が設定されていな場合は、 そのような安全な通信路でなくても送信されます >>4 し、 安全な通信路を経ていない文書でもスクリプトからアクセスできます。

安全性

[16] Secure 属性はクッキーが安全な通信路から安全でない通信路へと漏れることを防ぐ上では有用です。 起源の定義には URL scheme も含まれているので、通常の方法では DOM 上でも HTTPS のページのスクリプトから HTTP のページのスクリプトへと直接 Secure 属性由来の値を引き渡すこともできません。

[17] しかし Secure 属性のついたクッキーを発行することは HTTPS でない HTTP からも可能です。従って攻撃者は安全でない通信路からクッキーを注入可能であり、 一貫性の観点では Secure 属性は意味をなしません >>12。

歴史