son - httponly cookie php

Lectura de cookies a través de HTTPS que se establecieron utilizando HTTP (1)

Las cookies configuradas con la palabra clave "Segura" solo serán enviadas por el navegador cuando se conecte por medios seguros (HTTPS). Aparte de eso, no hay distinción: si no existe "seguro", la cookie puede enviarse a través de una conexión insegura.

En otras palabras, las cookies de las que desea proteger el contenido deben usar la palabra clave segura y solo debe enviarlas desde el servidor al navegador cuando el usuario se conecta a través de HTTPS.

• HTTP : la cookie con "Seguro" se devolverá solo en conexiones HTTPS (no tiene sentido hacer, consulte la nota a continuación)
• HTTPS : la cookie con "Seguro" se devolverá solo en conexiones HTTPS
• HTTP : la cookie sin "Secure" se devolverá en las conexiones HTTP o HTTPS
• HTTPS : la cookie sin "Secure" se devolverá en conexiones HTTP o HTTPS (podría perder información segura)

Referencia: RFC 2109 Ver 4.2.2 (página 4), 4.3.1

Nota : Ya no es posible establecer cookies "seguras" sobre orígenes inseguros (p. Ej., HTTP) en Firefox y Chrome después de que implementaron la especificación de Cookies estrictas seguras .