Tengo dos preguntas relacionadas:
El atributo HttpOnly se entiende por un conjunto de navegadores modernos , era ¿Se pregunta si hay una lista de todos los navegadores que admiten el indicador secure de la cookie?
¿Qué pasaría si un navegador no admite el indicador secure pero una aplicación lo establece en la cookie?
No he visto una lista formal de navegadores que sean seguros, pero definitivamente en mi experiencia, todas las iteraciones recientes de los navegadores populares sí lo hacen.
Supongo que lo que sucedería si encontrara un navegador que no sea compatible con la bandera, en caso de que se aprobara, es que simplemente ignoraría la bandera, aunque supongo que también sería posible que lo hiciera. ignorar toda la cookie.
Si desea probarlo, una opción podría ser intentar establecer un indicador de correo no deseado en una cookie (por ejemplo, con un nombre aleatorio) y ver cómo reaccionan los navegadores.
En general, diría que es poco probable que sea un problema a menos que su aplicación admita navegadores muy antiguos u oscuros.
¿Cómo llamas a un navegador que no admite el indicador secure ? Roto!
Afortunadamente, todos los navegadores que puedas usar deberían admitirlo. El indicador secure ha sido parte de la especificación desde los primeros días de Internet, y debería ser esencialmente universalmente compatible. Si encuentras un navegador que no lo admite, obtienes una cookie :-), eso es un error.
En resumen: no se moleste en dedicar su tiempo a preocuparse por la posibilidad de un navegador que no admita el indicador secure . Hay mejores cosas de las que preocuparse.
Lea otras preguntas en las etiquetas web-browser tls http cookies