Флаги куки: Secure и HttpOnly

Secure-флаг заставляет браузер отправлять куку только по HTTPS-соединению (защита от перехвата в нешифрованном канале); HttpOnly-флаг запрещает доступ к куке через JavaScript (document.cookie), что препятствует похищению сессионных идентификаторов через XSS-атаки.