HTTP Cookieに関するメモ
- サーバー側は、HTTPレスポンスヘッダに、Set-Cookieを追加して、クライアントに渡す。
- HTTP Cookieを受け取ったクライアント側は、HTTPリクエストヘッダに、Cookieを追加して、サーバー側に渡す。
■Set-Cookie
- 基本的に、key=valueという形でデータを追加し、;でデータ同士を区切る。
- Secure属性をつけていると、クライアント側は、HTTPS通信じゃない、サーバーにHTTP Cookieを送信しないようになる。
- HttpOnly属性をつけていると、JavaScriptのDocument.Cookieで中身を見ることができなくなる。
- SameSite属性をつけていると、値に応じて、送信すべきレベルを決定することができる。Strictだと同一オリジンのみ、Laxだと基本は同一オリジンだが、リンクを辿ったり、外部のサイトのURLへ移動した場合は別、Noneは特に制限なし。