[1] [[Cookie]] の [DFN[[CODE(HTTP)@en[[[Secure]]]]]] [[属性]]は、 その[[クッキー]]が「[[安全]]」に扱われるべきことを示します。 * 仕様書 - [4] [[Netscape Cookie]]: [CITE[Client Side State - HTTP Cookies]] * 値 [2] この[[属性]]は値をとりません。 存在するかしないかで[[ブール値]]を表します。 * 処理モデル [3] [[クッキー]]は [[HTTP]] [[応答]]で[[鯖]]に、[[DOM]] [[属性]] [CODE(JS)@en[[[document]].[[cookie]]]] で[[スクリプト]]に提供されます。 このとき、[[TLS]] または [[SSL]] 上の [[HTTP]] で通信する ([[HTTPS]]) [SRC[>>4]]、あるいは [[HTTPS]] によって取得された[[文書]]であるときに限り、「[[安全]]」 に扱われるべき[[クッキー]]も提供されます。 [5] [CODE(HTTP)@en[[[Secure]]]] [[属性]]が設定されていな場合は、 そのような安全な[[通信路]]でなくても送信されます [SRC[>>4]] し、 安全な通信路を経ていない[[文書]]でも[[スクリプト]]からアクセスできます。 * 歴史 [6] この[[属性]]は当初より [[Netscape Cookie]] で規定されていました。 [7] [[IETF]] の [[RFC 2109]] [CSECTION@en[4.2.2 Set-Cookie2 Syntax]]、[[RFC 2965]] [CSECTION@en[3.2.2 Set-Cookie2 Syntax]] でも定義されていました。 [8] >>7 では「安全」な方法について明確には規定されていませんでした。両仕様によれば、 [[利用者エージェント]]が (場合によっては[[利用者]]に諮った上で) 決めて[['''構いません''']]し、設定されたときと同等以上に安全な方法で送出[['''するべき''']]ですが、 それ以上の具体的なケースには触れられていませんでした。 [9] この[[属性]]が省略された場合、安全でない方法で送信しても[['''構わない''']] [SRC[[[RFC 2109]] [CSECTION@en[4.3.1 Interpreting Set-Cookie]], [[RFC 2965]] [CSECTION@en[3.3.1 Interpreting Set-Cookie2]]]] とされていました。