Cookieを安全に扱うポイント - JavaScriptをがんばるブログ

secure属性
- httpsで通信時のみサーバーへの送信を許可する(httpでは送信出来ない)
httpOnly属性
- Javascriptから取得出来ない(document.cookie等)

この2つが特に重要なようです。
両方を有効にしていれば通信を傍受されても、 xss埋め込まれてもcookieの値は守れるという解釈で良いのでしょうか。

凄く昔のブラウザだとhttpOnly属性を無視してJSにcookie渡しちゃうやつもある、みたいな記述も見かけたので過信は禁物(｀・ω・´)”

- 参考にさせて頂いた記事

<a href="http://weble.org/2011/03/23/ssl-secure-cookie" data-mce-href="http://weble.org/2011/03/23/ssl-secure-cookie">SSL で暗号化しても Cookie で secure 属性を指定しないと盗聴される可能性があるかもしれない</a>weble.org

<a href="http://takuya-1st.hatenablog.jp/entry/2013/12/02/160641" data-mce-href="http://takuya-1st.hatenablog.jp/entry/2013/12/02/160641">httpOnlyなCookieとは？ - それマグで！</a>takuya-1st.hatenablog.jp