用javascript創建的cookie的安全屬性

Question

當通過設置document.cookie（）在javascript中純客戶端創建cookie時，「安全」屬性對它們有什麼影響？

特別是：

• 都在向服務器發送客戶端創建的cookie「曲奇」後續請求的頭？

• 客戶端創建的服務器可以通過後續的Set-Cookie頭來修改嗎？

• 在前兩個問題的情況下，假設答案是肯定的，如果與服務器的連接不是HTTPS，那麼安全屬性是否阻止了這種情況？

• 如果頁面不是通過HTTPS加載包含嘗試使用安全屬性創建cookie的javascript，是否允許創建cookie？

• 主要的瀏覽器是否一致地處理這一切？

Answer 1

1. 是，JavaScript的設定Cookie（通過了document.cookie設定=）被髮送到在Cookie請求頭中的服務器。
2. 是的，客戶端Cookie可以被服務器傳遞的Set-Cookie頭覆蓋。
3. 是的，它應該。
4. 它不應該。
5. 據我所知，是的，但它應該很容易測試。