> しかし、なぜそうしたいのでしょうか。Cookieは自サーバーあるいは信頼するサーバー（ドメインが異なる場合）が発行したものであり、基本的にそれを信頼するしかないものです。 自サーバーで発行したCookieを同じドメインの別サービスで使ってもらうのですが、別サービスのサーバーでCookieの属性を書き換えて、その後自サーバーにアクセスし、そのCookieを使い回す場合、書き換え後の属性がセキュアではない可能性があると考えます。 また、別サーバーで発行した別ドメインのCookieを、domain属性に自サーバーのドメインを指定して渡された場合、それをそのまま受け取って使用してしまうリスクがあるのではないかと考えます。 > 再発行したとして、そのCookieを受け取る場合は再度同じことをすることになりませんか? 別サーバーが発行したものを自サーバーで受け取るケースを想定していらっしゃるのでしょうか。 今回は自サーバーが発行したものを別サーバーに渡し、さらにその後別サーバーから自サーバーに渡すケースを想定しています。

コメントありがとうございます。もうちょっと具体的に示していただかないと、何を問題にしているか分かりません。一般的に、同じ名前で属性のみ付け替えてCookieを発行し直すことは意味がないと考えられていると思います。特殊ケースでは意味があるケースがあるかもしれませんが、そもそも「同じ名前」にすること自体が好ましくないと思います。いずれにせよ、もう少し具体的なケースを示していただかないとわからないですし、回答の冒頭に書いたように、Cookieの属性をサーバー側で取得する方法はありません。

問題にしているところは、自サーバーで発行後、他サーバーに渡し、その後さらに自サーバーで使い回すCookieについて、他サーバーでCookieの属性を変更されると、自サーバーでセキュリティリスクが起こりうる点です。 例えば自サーバーでセッション情報を持つCookieをSecure属性をtrueにして発行した後、他サーバーに渡したときに、Secure属性をfalseにされ、それを自サーバーでも使い回す場合、自サーバーでSecure属性がfalseのCookieを使うことになり、セキュリティリスクがあります。 なぜこんなことをするのかというと、同じCookieで自サーバーと他サーバーのセッションを共有するためです。 Cookieの属性をサーバー側で取得する方法はないとのこと、承知しました。ご回答ありがとうございます。