Set-Cookie: CookieKey=DATA; Secure; HttpOnly
クッキーの持つ属性のひとつで、この属性を指定したCookieはjavascriptから読み取ることができなくなる。
(サーバへの送信は行われる)
この属性をつけることで、XSSなどで読み込まれた不正なjavascriptからセッションIDを盗難されることを防ぐことができる。
以下のようなフラグもある。
https://laboradian.com/same-site-cookies/
SameSite=strictフラグ(ページ内部品から、表示しているページのロケーションバーと違うドメインへアクセスするときクッキーを送らない。クロスサイトリクエストフォージェリ: CSRF 攻撃を防止)
secure=trueフラグ(cookieをhttpsコネクションでのみ利用できるようにします)
