Что такое флаг Secure в Cookie

Тип вопроса: Безопасность Вероятность: 10% Категория: Frontend Developer

Ответ

Флаг Secure указывает браузеру, что куки должны передаваться только через защищённое HTTPS-соединение. Это защищает куки от перехвата при передаче по незащищённому HTTP.

Пример установки Secure-флага:

// Серверная установка (Node.js + Express)
res.cookie('session', 'token123', {
  secure: true,
  httpOnly: true
});

Важно:

На локальном http://localhost Secure-флаг игнорируется в некоторых браузерах.
Без HTTPS куки с Secure не будут отправлены на сервер.
Часто комбинируется с HttpOnly для защиты от XSS.