ockeghem 様 ご回答ありがとうございます。 僕も調べて、この画面を見て「PHPSESSID」の部分をチェックしたのですが HTTPとSecureの欄にはチェックがついておりませんでした。 ちなみにチェックしているサイトは、本番環境と開発環境の2つがあります。 質問の時点で情報不足で申し訳ございません。 ・本番環境はhttps://〜 or http://〜（httpsとhttp共に閲覧可能な状態） ・開発環境はhttp://〜 でコンソールのステータスの状態は 開発環境のPHPSESSID、HTTPとSecureの欄にはチェックない。 本番環境のPHPSESSID、HTTPとSecureの欄にはチェックあり。 今回相談したサイトは、開発環境になります。 そもそもSSL化になってないので、チェックが入らないものなのでしょうか？ あと大変恐縮ですがもう2点、教えていただけますと幸いです。 ================================ クライアント　　　　　　　　　　サーバー 受信←←←←←←←←←←←←←←送信 ================================ この場合は、HttpOnly、Secure属性が付加される。 ================================ クライアント　　　　　　　　　　サーバー 受信→→→→→→→→→→→→→→送信 ================================ この場合は、HttpOnly、Secure属性が付加されない。 HttpOnlyは、JavaScript等からの該当Cookie参照を許可しないという指定なので そもそも指定されるものではない。 と認識しているのですが間違ってないでしょうか？ 上記の認識で問題ない場合、 クライアントから、サーバーへリクエストする際は、 基本的にセキュリティ対策できないものなのでしょうか？ 的はずれな質問だったら、申し訳ございません。

クッキーは、サーバーからSet-Cookieヘッダによりブラウザに送られ、ブラウザ側で保存します。その保存の際にクッキーの属性もセットで保存されます。クッキーがブラウザからサーバーに送られる際には、名前=値だけが必要なので、属性値はついていきません。 path / domain / expires / secure の各属性は、ブラウザからサーバーに送るか否かを決める属性ですので、サーバー側からみれば、クッキーが送られてきたということは、送られてくる条件を満たしているということが分かるので属性までは送っていないのだと思います。しかし、サーバーから見れば、本当は送ってくれた方が便利な面もあります。というのは、domainやpathの属性が違えば同名のクッキーを複数保存でき、送信も複数されるのですが、サーバーからみると属性がないので、どのクッキーがどのdomain / pathなのか分からないので不便です。この辺、なぜこのような仕様になっているかは、仕様を決めた人に聞かないと分からないので、とにかくこのような仕様だと覚えるしかありません。 HttpOnlyは、JavaScriptから参照できるか否かを指定するものであり、HttpOnlyの有無はサーバーへの送信には関係ないので送られません。また、そもそもサーバー側ではどのクッキーをどの属性で送っているかは把握しているはずなので送る必要がないという見方もできます。 さて、httpsではなくhttpでSecure属性つきのクッキーを送っても、そのクッキーは保存されないはずです。もし、httpの状態でクッキーがあるとすれば、それはSecure属性を指定する前のものが残っているのではないでしようか? 一度クッキーを削除し、削除されていることを確認してから実験したほうがよいと思います。

maisumakun 様 ご回答ありがとうございます。 非常に勉強になりました！ありがとうございます。