Saya tahu bahwa cookie dengan securebendera tidak akan dikirim melalui koneksi yang tidak terenkripsi. Saya bertanya-tanya bagaimana ini bekerja secara mendalam.
Siapa yang bertanggung jawab untuk menentukan apakah cookie akan dikirim atau tidak?
Klien menyetel ini hanya untuk koneksi terenkripsi dan ini didefinisikan di RFC 6265 :
Atribut Aman membatasi cakupan cookie untuk saluran "aman" (di mana "aman" ditentukan oleh agen pengguna). Jika cookie memiliki atribut Secure, agen pengguna akan menyertakan cookie dalam permintaan HTTP hanya jika permintaan tersebut dikirim melalui saluran aman (biasanya HTTP melalui Transport Layer Security (TLS) [RFC2818]).
Meskipun tampaknya berguna untuk melindungi cookie dari penyerang jaringan yang aktif, atribut Secure hanya melindungi kerahasiaan cookie. Penyerang jaringan yang aktif dapat menimpa cookie Aman dari saluran yang tidak aman, mengganggu integritasnya (lihat Bagian 8.6 untuk lebih jelasnya).
Hanya satu kata lain tentang masalah ini:
Menghilangkan
securekarena situs web Andaexample.comsepenuhnya https tidak cukup.Jika pengguna Anda menjangkau secara eksplisit
http://example.com, mereka akan dialihkan kehttps://example.comtetapi itu sudah terlambat; permintaan pertama berisi cookie.sumber
secure?