Câu trả lời:
Máy khách đặt điều này chỉ cho các kết nối được mã hóa và điều này được định nghĩa trong RFC 6265 :
Thuộc tính Secure giới hạn phạm vi của cookie đối với các kênh "an toàn" (trong đó "an toàn" được xác định bởi tác nhân người dùng). Khi cookie có thuộc tính Secure, tác nhân người dùng sẽ chỉ đưa cookie vào một yêu cầu HTTP nếu yêu cầu được truyền qua một kênh bảo mật (thường là HTTP qua Bảo mật lớp truyền tải (TLS) [RFC2818]).
Mặc dù có vẻ hữu ích để bảo vệ cookie khỏi những kẻ tấn công mạng đang hoạt động, thuộc tính Secure chỉ bảo vệ tính bí mật của cookie. Kẻ tấn công mạng đang hoạt động có thể ghi đè Cookie bảo mật từ một kênh không an toàn, làm gián đoạn tính toàn vẹn của chúng (xem Phần 8.6 để biết thêm chi tiết).
Chỉ một từ khác về chủ đề này:
Bỏ qua securevì trang web của bạn example.comcó đầy đủ https là không đủ.
Nếu người dùng của bạn đang tiếp cận một cách rõ ràng http://example.com, họ sẽ được chuyển hướng đến https://example.comnhưng đã quá muộn rồi; yêu cầu đầu tiên chứa cookie.
secure?