Відповіді:
Клієнт встановлює це лише для зашифрованих з'єднань, і це визначено в RFC 6265 :
Атрибут "Безпечний" обмежує область cookie "захищених" каналів (де "захищений" визначений користувальницьким агентом). Коли файл cookie має атрибут Secure, агент користувача включатиме файл cookie в HTTP-запит, лише якщо запит передається по захищеному каналу (як правило, HTTP через безпеку транспортного рівня (TLS) [RFC2818]).
Хоча здавалося б корисним для захисту файлів cookie від активних мережевих зловмисників, атрибут Secure захищає лише конфіденційність файлу cookie. Активний мережевий зловмисник може перезаписати захищені файли cookie з незахищеного каналу, порушуючи їх цілісність (детальніше див. Розділ 8.6).
Ще одне слово на цю тему:
Опущення, secure
оскільки веб-сайт example.com
повністю https, недостатньо.
Якщо ваш користувач явно звертається http://example.com
, він буде переспрямований, https://example.com
але це вже пізно; перший запит містив печиво.
secure
?