Definição - O que significa Cookie Seguro?
Um cookie seguro, também conhecido como cookie httpOnly, é um tipo de cookie que funciona apenas com HTTP / HTTPS e não funciona para linguagens de script como JavaScript. Como ele é usado apenas para armazenar informações e para solicitações de protocolo de transferência de hipertexto e dados pela Internet, exploits e hacks feitos por meio de scripts não podem acessá-los. Portanto, o principal benefício de um cookie seguro é que ele pode impedir o roubo por meio de scripts entre sites (XSS).
Definirtec explica o Secure Cookie
Um cookie seguro sempre tem o atributo seguro ativado, por isso é usado principalmente via HTTPS e transmitido de forma segura com conexões criptografadas. O sinalizador httpOnly no cabeçalho do cookie seguro garante que o JavaScript ou qualquer método não HTTP não acesse o cookie. O cookie funciona com a ajuda de dois cabeçalhos: set-cookie e cookie. O trabalho do cabeçalho set-cookie é criar um cookie seguro no sistema do usuário em resposta a uma solicitação http. Enquanto o cabeçalho do cookie faz parte do aplicativo com uma solicitação http enviada ao servidor para validar se há um cookie seguro que corresponda ao domínio e caminho solicitados.
O atributo secure e o sinalizador httpOnly funcionam juntos para garantir que o navegador seja capaz de restringir o acesso aos dados do cookie seguro de scripts maliciosos que podem ter infectado o navegador ou a rede. Isso atenua muitos dos danos que muitos ataques XSS podem causar, especificamente aqueles que visam cookies.