基本情報技術者試験 ap-2025r07h-a 午前 問41: cookie に Secure 属性を設定しなかったときと比較した，設定したときの Web ブラウザの動作として，適切なものはどれか。

問題本文

cookie に Secure 属性を設定しなかったときと比較した，設定したときの Web ブラウザの動作として，適切なものはどれか。

選択肢

• ア.cookie に設定された有効期間を過ぎると，Web ブラウザが cookie を無効であると判断する。
• イ.URL 内のスキームが https のときだけ，Web ブラウザから cookie が送出される。
• ウ.Web ブラウザがアクセスする URL 内のパスと cookie に設定されたパスのプレフィックスが一致するときだけ，Web ブラウザから cookie が送出される。
• エ.Web ブラウザでは JavaScript による cookie の読出しが禁止される。

正解

イ. URL 内のスキームが https のときだけ，Web ブラウザから cookie が送出される。

解説

cookie の各属性が Web ブラウザの送出・参照の動作をどう変えるかを問う問題。Secure 属性は「暗号化された通信のときだけ cookie を送る」よう指示する属性であり，これを設定すると URL のスキームが https(TLS で保護された通信)のときに限ってブラウザは cookie をサーバへ送出し，平文の http では送出しなくなる。これにより盗聴による cookie 漏えいを防ぐので，正解はイ。

選択肢ごとの解説

• ア.cookie の有効期間(有効期限)は Expires 属性や Max-Age 属性で決まる動作であり，Secure 属性とは無関係なので誤り。
• イ.正しい。Secure 属性を付けると，URL のスキームが https(暗号化通信)のときだけブラウザが cookie を送出し，平文の http では送らなくなる。
• ウ.アクセス先のパスとの一致で送出可否を制御するのは Path 属性の動作であり，Secure 属性の説明ではないので誤り。
• エ.JavaScript からの cookie 読出しを禁止するのは HttpOnly 属性の動作であり，Secure 属性の説明ではないので誤り。