2015-07-25 Cookieを安全に扱うポイント HTTP secure属性 httpsで通信時のみサーバーへの送信を許可する(httpでは送信出来ない) httpOnly属性 Javascriptから取得出来ない(document.cookie等) この2つが特に重要なようです。 両方を有効にしていれば通信を傍受されても、 xss埋め込まれてもcookieの値は守れるという解釈で良いのでしょうか。 凄く昔のブラウザだとhttpOnly属性を無視してJSにcookie渡しちゃうやつもある、みたいな記述も見かけたので過信は禁物(`・ω・´)” - 参考にさせて頂いた記事 SSL で暗号化しても Cookie で secure 属性を指定しないと盗聴される可能性があるかもしれないweble.org httpOnlyなCookieとは? - それマグで!takuya-1st.hatenablog.jp