情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 令和5年度 科目A 公開問題 問10: HTTPのcookieに関する記述のうち，適切なものはどれか。

問題本文

HTTPのcookieに関する記述のうち，適切なものはどれか。

選択肢

• ア.cookieに含まれる情報はHTTPヘッダの一部として送信される。
• イ.cookieに含まれる情報はWebサーバだけに保存される。
• ウ.cookieに含まれる情報はWebブラウザが全て暗号化して送信する。
• エ.クライアントがcookieに含まれる情報の有効期限を設定する。

正解

ア. cookieに含まれる情報はHTTPヘッダの一部として送信される。

解説

cookieは、Webサーバがクライアントの状態を保持するためにブラウザへ預ける小さなデータで、HTTPのヘッダを介してやり取りされる。正解のアのとおり、サーバはSet-Cookieヘッダで送出し、ブラウザはCookieヘッダに載せて送信するため、cookieはHTTPヘッダの一部として送られる。cookie自体はブラウザ側に保存され、有効期限はサーバが指定する。

選択肢ごとの解説

• ア.cookieはサーバのSet-CookieヘッダとブラウザのCookieヘッダによりHTTPヘッダの一部として送受信されるため、正しい記述です。
• イ.cookieはWebブラウザ（クライアント）側に保存されるものであり、サーバだけに保存されるという記述は誤りです。
• ウ.cookieはHTTPSを使えば通信経路は暗号化されますが、ブラウザがcookieの内容を常に暗号化して送るわけではないため誤りです。
• エ.cookieの有効期限はサーバがSet-CookieのExpires/Max-Ageで指定するものであり、クライアントが設定するという記述は誤りです。