Les cookies définis en HTTP peuvent-ils être lus en HTTPS?
Les cookies définis avec le mot clé "Secure" ne seront envoyés par le navigateur que lors de la connexion par un moyen sécurisé (HTTPS). En dehors de cela, il n'y a pas de distinction - si "sécurisé" est absent, le cookie peut être envoyé via une connexion non sécurisée.
En d'autres termes, les cookies dont vous souhaitez protéger le contenu doivent utiliser le mot-clé sécurisé et vous ne devez les envoyer du serveur au navigateur que lorsque l'utilisateur se connecte via HTTPS.
Référence: RFC 2109 Voir 4.2.2 (page 4), 4.3.1
Note: Il n'est plus possible de définir des cookies "sécurisés" sur des origines non sécurisées (par exemple HTTP) sur Firefox et Chrome après avoir implémenté le Strict Secure Spécification des cookies .