Атрибуты secure и httponly не содержат значений и играют роль флагов. Сookie с атрибутом secure будет отправляться браузером только при посещении зашифрованных HTTPS-сайтов, а httponly (глава 7) сделает куки недоступным для скриптовых языков.
Атрибуты expires и max-age сообщают браузеру время уничтожения куки. expires содержит «срок годности»
Ловушка для багов. Полевое руководство по веб-хакингу
·
Питер Яворски
