Вопрос проверяет знание параметров безопасности куки.
Основные флаги:
HttpOnly: Запрещает доступ к куки через JavaScript (защита от XSS).
Secure: Передача только по HTTPS.
SameSite: Защита от CSRF (Strict, Lax, None).
Expires/Max-Age: Время жизни куки.
Пример безопасной куки:
Set-Cookie: token=xyz; Secure; HttpOnly; SameSite=Strict; Path=/Назначение флагов:
HttpOnly: Нельзя украсть через document.cookie.
Secure: Куки не уйдут по HTTP (только HTTPS).
SameSite=Strict: Куки не отправятся при переходе с другого сайта.
Вывод:
Всегда используйте HttpOnly и Secure для критичных данных (например, токенов).