Что такое безопасные cookies?

Безопасные (Secure) cookies — это файлы cookie с установленным флагом Secure. Этот флаг указывает браузеру отправлять cookie на сервер только через защищенное соединение (HTTPS).

Они обеспечивают дополнительный уровень безопасности, защищая данные cookie от перехвата при передаче по незашифрованному HTTP-соединению.

Ключевые аспекты:

• Требуют HTTPS: Браузер игнорирует флаг Secure для HTTP-соединений.
• Защита от перехвата: Предотвращают атаки типа man-in-the-middle (MITM).
• Приватность: Способствуют защите конфиденциальных данных, хранящихся в cookie.
• Не защищают от XSS: Флаг Secure не предотвращает доступ к cookie через уязвимости межсайтового скриптинга (XSS). Для этого используются флаги HttpOnly.

Пример установки на сервере (Node.js с Express):

// Установка cookie "session_id" со значением "xyz123"
// Флаг Secure = true указывает на отправку только по HTTPS
res.cookie('session_id', 'xyz123', { secure: true }); 

Пример установки на сервере (PHP):

// Установка cookie "user_token" со значением "abc456"
// Параметр 'secure' => true указывает на отправку только по HTTPS
setcookie('user_token', 'abc456', [
    'expires' => time() + 3600,
    'path' => '/',
    'secure' => true,     // Отправлять только по HTTPS
    'httponly' => true,   // Недоступны через JavaScript
    'samesite' => 'Strict' // Защита от CSRF
]);