Risposte:
Il client lo imposta solo per le connessioni crittografate e questo è definito in RFC 6265 :
L'attributo Secure limita l'ambito del cookie ai canali "protetti" (dove "protetto" è definito dall'agente utente). Quando un cookie ha l'attributo Secure, l'agente utente includerà il cookie in una richiesta HTTP solo se la richiesta viene trasmessa su un canale sicuro (tipicamente HTTP su Transport Layer Security (TLS) [RFC2818]).
Sebbene apparentemente utile per proteggere i cookie da attacchi di rete attivi, l'attributo Secure protegge solo la riservatezza del cookie. Un utente malintenzionato di rete attivo può sovrascrivere i cookie protetti da un canale non protetto, interrompendone l'integrità (vedere la Sezione 8.6 per maggiori dettagli).
Solo un'altra parola sull'argomento:
Omettere secure
perché il tuo sito web example.com
è completamente https non è sufficiente.
Se il tuo utente sta raggiungendo esplicitamente http://example.com
, verrà reindirizzato a, https://example.com
ma è già troppo tardi; la prima richiesta conteneva il cookie.
secure
?