Lecture des cookies via HTTPS définis à l'aide de HTTP

Les cookies définis avec le mot clé "Secure" ne seront envoyés par le navigateur que lors de la connexion par un moyen sécurisé (HTTPS). En dehors de cela, il n'y a pas de distinction - si "sécurisé" est absent, le cookie peut être envoyé via une connexion non sécurisée.

En d'autres termes, les cookies dont vous souhaitez protéger le contenu doivent utiliser le mot-clé sécurisé et vous ne devez les envoyer du serveur au navigateur que lorsque l'utilisateur se connecte via HTTPS.

• [~ # ~] http [~ # ~] : Cookie avec "Secure" sera retourné uniquement sur [~ # ~] https [~ # ~] connexions (inutile de le faire, voir la remarque ci-dessous)
• [~ # ~] https [~ # ~] : Cookie avec "Secure" sera retourné uniquement sur [~ # ~] https [~ # ~] connexions
• [~ # ~] http [~ # ~] : Cookie sans "Secure" sera retourné sur [~ # ~] http [~ # ~] ou [~ # ~ ] https [~ # ~] connexions
• [~ # ~] https [~ # ~] : Cookie sans "Secure" sera retourné sur [~ # ~] http [~ # ~] ou [~ # ~ ] https [~ # ~] connexions (peuvent divulguer des informations sécurisées)

Référence: RFC 2109 Voir 4.2.2 (page 4), 4.3.1

Note: Il n'est plus possible de définir des cookies "sécurisés" sur des origines non sécurisées (par exemple HTTP) sur Firefox et Chrome après avoir implémenté le Strict Secure Spécification des cookies .