クッキーのSecureフラグはリバースプロキシに立てさせたい - QiitaHTTPクッキーで秘密情報、例えばログインセッションIDなどを扱う場合はSecureフラグを立てるのが定石です(例え秘密情報を扱わないとしても立てるのが定石と考えるべきかもしれません。セキュリティテストでは機械的に問題点として検出されてしまいますから)。 Secureフラグとは「HTTPS通信時にしか送り返さないでください」というブラウザへの指示。 などと、Set-Cookieヘッダにsecureと追記することで実現します。こうしておけば、平文通信に秘密情報が流れてパケットキャプチャで盗聴されてしまうという心配がなくなります。 開発時にはsecureフラグが邪魔だったり というわけでまともなユーザアカウント管理のあるWebシステムならsecureフラグは当然付けなければいけないのですが、問題は開発中です。 開発マシンのローカルにサーバを立てて動かしているときなど、HTTPSアクセスってこと
