Cookie属性 HttpOnlyとSecure

ごっちゃになりがちなのでメモ。

HttpOnly

Cookie属性としてこれを付与するとJavaScriptからアクセスできなくなる。
→　Cookieに格納されたセッションIDをJSで盗もうとするのを防げたりする。
→　Httpでしか送信できないとか、そういう意味ではない。

Secure

これが付与されるとHTTPSの通信の場合のみ送信されるようになる。
→　常時SSLのサイトでは基本的にこれを使うべき。